Die neue Datenschutz Grundverordnung (DSGVO): Das sollten Sie zum Datenschutz wissen

 In Digitale Transformation

Ab dem 25. Mai 2018 wird sich einiges verändern. Die neue Datenschutz Grundverordnung (DSGVO) birgt für Unternehmen zahlreiche Herausforderungen, bietet jedoch auch neue Möglichkeiten. Die wichtigsten Änderungen im Überblick.

Grundsätzliches

Europaweite Gültigkeit

Bisher galten in der europäischen Union auf nationaler Ebene unterschiedlichste Datenschutzregeln. Die neue  Verordnung wird in den Mitgliedstaaten direkt und ohne weitere Anpassungen in nationales Recht umgesetzt, so dass in der gesamten europäischen Union dieselben Regeln für alle gelten.

Rechtmäßigkeit der Datenverarbeitung

Einer der wichtigsten Grundsätze für die Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung ist die Rechtmäßigkeit der Verarbeitung. Für eine rechtmäßige Datenverarbeitung muss also mindestens eine der sechs in der Verordnung genannten Bedingungen erfüllt sein. Was nicht ausdrücklich erlaubt ist, bleibt damit verboten. Die Verarbeitung personenbezogener Daten ist z.B. rechtmäßig, wenn eine Einwilligung der betroffenen Person vorliegt (Nutzer müssen also aktiv zustimmen und nicht wie bisher aktiv widersprechen), zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.

Rechenschaftspflicht und Nachweisbarkeit

Unternehmen müssen künftig die Regeln des Datenschutzes nicht nur einhalten, sondern sie müssen deren Einhaltung auch nachweisen können. Es drohen empfindliche Rechtsfolgen beim Verstoß gegen die Nachweispflicht. So ist für jedes Unternehmen eine eigene individuelle Datenschutzrichtlinie notwendig, in der das Unternehmen sein Datenschutz-managementsystem darstellt und dessen Einhaltung und Umsetzung regelmäßig dokumentiert (Art. 5 (2)). Die Unternehmensleitung ist für die Einhaltung haftbar und muss sie nachweisen können („Rechenschaftspflicht“).

Bußgelder

Anders als bislang wird die Höchstsumme für Bußgelder bei Datenschutzverstößen nicht mehr in starren Werten angegeben, vielmehr können künftig Bußgelder in Höhe von bis zu vier Prozent der weltweiten Jahresumsätze des Unternehmens verhängt werden. Großunternehmen drohen damit bei Verstößen gegen das Datenschutzrecht Bußgelder in Millionen- oder gar Milliardenhöhe (Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen).

Informationspflichten

Die Datenschutz-Grundverordnung führt eine Reihe von neuen Informationspflichten ein. Dabei ändern sich im Vergleich zu den bisherigen Vorschriften des Telemedien- und Bundesdatenschutzgesetz einige Anforderungen. Denn der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, -verarbeitung oder -nutzung, anhand den zur Verfügung gestellten Informationen zu überprüfen. Beispiele sind das Recht auf Vergessen (Löschung der Nutzerdaten auf dessen Verlangen, sofern juristisch möglich), Recht auf Transparenz (Nutzer dürfen erfahren, welche Daten über sie gesammelt und wie sie verarbeitet werden)

Einzelne Bereiche

Vertrieb

Wenn Sie Vertriebskampagnen nutzen, müssen Sie auf die Einhaltung der neuen Richtlinien achten. So ist es künftig nicht mehr zulässig, vorausgewählte Felder in Formularen zu verwenden oder Personen mit Werbung anzusprechen, die nicht ausdrücklich zugestimmt haben. Für die Verarbeitung personenbezogener Daten ist eine ausdrückliche Einwilligung erforderlich.

Personal

Die Personalabteilung speichert eine Menge personenbezogener Daten, z. B. die Lebensläufe jetziger und früherer Mitarbeiter und Bewerber. Gemäß EU-DSGVO haben Mitarbeiter weitreichendere Rechte in Bezug auf die Verwendung und die Aufbewahrung ihrer Daten. Die Personalabteilung muss für mehr Transparenz in Bezug auf die Verwendungszwecke der personenbezogenen Daten sorgen und den Mitarbeitern die Möglichkeit geben, Anträge auf deren Löschung zu stellen. Dies gilt für derzeitige wie ehemalige Mitarbeiter.

Informationstechnologie

22% der IT-Entscheider sind sich nicht darüber bewusst, dass ihre Organisationen bis zum 25. Mai 2018 der EU-Datenschutz Grundverordnung voll entsprechen müssen. Effektive IT-Prozesse sind aber für die Sicherstellung und Gewährleistung der EU-DSGVO Einhaltung von grundlegender Bedeutung und sorgen für ein optimiertes, sicheres und transparentes Vorgehen.

Videoüberwachung

Mit der voraussichtlichen Anwendbarkeit der EU-DSGVO im Mai 2018 ändert sich auch die Zulässigkeit einer Videoüberwachung. Die EU-Datenschutz-Grundverordnung enthält keine konkrete Regelung zur Zulässigkeit von Videoüberwachung. Es besteht also die Möglichkeit, dass künftig geringere datenschutzrechtliche Anforderungen an die Zulässigkeit einer Videoüberwachung gestellt werden.

Marktforschung

Themen wie Konsumgewohnheiten, Bedürfnisse, demographischen Entwicklungen und Mediennutzung liegen im Bereich der Marktforschung. Um aussagekräftige Ergebnisse zu liefern, werden oft eine Vielzahl von personenbezogenen Daten bei identifizierbaren Personen erhoben und ausgewertet. Bei der Verarbeitung von personenbezogenen Daten sind immer die datenschutzrechtlichen Vorgaben zu beachten. Bisher kam der Markt- und Meinungsforschung dabei durch den § 30a BDSG eine privilegierte Stellung zu. Diese wird aber mit der Datenschutz-Grundverordnung und dem neuen BDSG ersatzlos gestrichen.

Auftragsdatenverarbeitung

Die Verordnung spricht von Auftragsverarbeiter (Auftragnehmer) und dem für die Verarbeitung Verantwortlichen (Auftraggeber). Wie bisher ist eine vertragliche Regelung erforderlich, die schriftlich oder in elektronischer Form vorliegen muss. Die erforderlichen Vertragsinhalte sind in der Verordnung festgelegt und entsprechen weitgehend den bisher in Deutschland geltenden Regeln. Der Auftragsverarbeiter darf die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Ebenfalls neu ist, dass bei Datenschutzverstößen sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam haften. Ob eine Auftragsdatenverarbeitung in der Praxis vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht vertraglich festgelegt werden.

Ist Ihr Unternehmen fit für die neue Datenschutzgrundverordnung (DSGVO)?

Finden Sie es doch heraus – mit unserem kostenlosen Selbstbewertungstest zum Datenschutz. Anhand des Tests können Sie ermitteln, wie gut Sie derzeit die DSGVO einhalten können.

Die neue Datenschutzverordnung wird am 25. Mai 2018 europaweit in Kraft treten. Sie stärkt unter anderem die Rechte natürlicher Personen bei der Kontrolle ihrer personenbezogenen Daten. Dadurch wird eine Verstärkung der Datenschutzmaßnahmen von Unternehmen und anderen Organisationen erforderlich. Sie gilt in allen Mitgliedstaaten der europäischen Union sowie für Organisationen, die Produkte und Dienstleistungen in der EU bereitstellen oder das Verhalten natürlicher Personen in der EU verfolgen. Sie birgt für Unternehmen zahlreiche Herausforderungen, bietet jedoch auch neue Möglichkeiten.

Recent Posts

Leave a Comment