Die neue EU-Datenschutzgrundverordnung

Das müssen Sie ab 25. Mai 2018 beachten
Um das europäische Datenschutzrecht zu vereinheitlichen, erfolgte im Dezember 2015 die Einigung auf die EU-Datenschutz-Grundverordnung (EU-DSGVO). Die Verordnung wird in allen Mitgliedsstaaten der EU direkt geltendes Recht sein und damit die beträchtlichen Unterschiede lösen, welche sich bislang durch nationale Gesetzgebunden auf Grundlage der EU-Datenschutzrichtlinie ergaben. Auch für Anbieter, die ihren Sitzen außerhalb der EU haben, jedoch ihre Angebote an EU-Bürger richten, ist die EU-DSGVO verpflichtend. Ziel der Verordnung ist es, Kundendaten künftig besser zu schützen. Für Unternehmen bedeutet dies, dass alle Datenanwendungen an die EU-DSGVO angepasst werden müssen. Denn bei Verstößen gegen die Verordnung werden hohe Strafen fällig, die bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes des vorherigen Geschäftsjahres betragen können. Der jeweils höhere Wert wird angesetzt.

So war es bislang

Bislang war es Unternehmen vorgeschrieben, bei meldepflichtigen Datenanwendungen eine Meldung an das Datenverarbeitungsregister zu erstatten, bevor die jeweilige Anwendung in Betrieb genommen wurde. Mit der neuen Verordnung entfällt diese Vorschrift. Die Vorabkontrolle wird von einer Risiko- und Folgeabschätzung abgelöst. Unternehmen müssen ab Mai 2018 demnach Daten in gesetzeskonformer Weise verarbeiten und dabei gewährleisten, dass alle durch die EU-DSGVO festgesetzten Kontrollmechanismen umgesetzt werden. Dies muss durch eine kontinuierliche Überwachung der rechtlichen Anforderungen dokumentiert werden. Der Datenschutz beginnt mit der neuen Verordnung nach dem Prinzip „privacy by design and default“ bereits bei der Planung neuer Techniken und datenschutzfreundlichen Grundeinstellungen.

Neu: Dokumentierter Datenschutz und strengere Informationspflicht

Im Bedarfsfall müssen Unternehmen in der Lage sein, vor der Datenschutzbehörde zu beweisen, dass sie die Rechte der Personen, von denen sie Daten verarbeiten, schützen (Rechenschaftspflicht). Dies findet sowohl bei der automatisierten als auch nicht-automatisierten Verarbeitung von personenbezogenen Daten seine Anwendung.

Zu den personenbezogenen Daten zählen u.a.

·       Name
·       Adresse
·       E-Mail-Adresse
·       Telefonnummer
·       Geburtstag
·       Kontodaten
·       Kfz-Kennzeichen
·       Standortdaten
·       IP-Adressen
·       Cookies

Das Datenschutzkonzept muss regelmäßig kontrolliert sowie ggf. weiterentwickelt werden.
Keine Notwendigkeit hierfür besteht lediglich bei Daten, die einzig und alleine zur Ausübung persönlicher oder familiärer Tätigkeiten ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit, erhoben werden. Für betroffene Personen, von denen Daten verarbeitet wurden, ergeben sich mit der neuen EU-DSGVO auch erweiterte Informationsrechte. Der Kunde hat laut der neuen Verordnung nicht nur ein Auskunftsrecht gegenüber den Unternehmen, die seine Personendaten verarbeiten, sondern kann auch das Löschen (Recht auf Vergessenwerden) oder Berichtigen der jeweiligen Daten beantragen.

Wie sich Unternehmen vorbereiten müssen

Eine Studie der IDC (International Data Corporation) ergab, dass bis August 2017 mehr als 40 Prozent der deutschen Unternehmen noch keine Vorbereitungen für die Umsetzung der ab 25. Mai 2018 geltenden Verordnung getroffen haben. Wie also fängt man am besten an, die Regelungen in den internen Ablauf einzubauen?
Um sich auf die Umsetzung der neuen EU Datenschutzgrundverordnung vorzubereiten, müssen Unternehmen zunächst ihre Daten und Datenschutzprozesse analysieren. Stellen Sie sich dabei u.a. folgende Fragen:

- Welche personenbezogenen Daten besitzen Sie und welche dieser Daten benötigen Sie tatsächlich?

- Welche Personendaten dürfen Sie dem geltenden Recht nach nutzen und welche Daten dürfen Sie an dritte Unternehmen weitergeben?

Im Zweifelsfall sollten Sie sich hierzu von einem Datenschutzexperten beraten lassen.

Wann ist ein Datenschutzbeauftragter notwendig?

Ein Datenschutzbeauftragter ist in Unternehmen, die besondere Daten - zum Beispiel über Gesundheit, religiöse Zugehörigkeit, Gewerkschaftszugehörigkeit oder biometrische Daten - im Rahmen einer umfangreichen, regelmäßigen und systematischen Überwachung verarbeiten, verpflichtend notwendig. Auch Unternehmen, die Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten, benötigen zwingend einen Datenschutzbeauftragten. Dieser kann entweder ein Mitarbeiter des Unternehmens oder ein externer Experte sein, der für die Erfüllung und Überwachung der datenschutzrechtlichen Vorschriften sowie der internen Datenschutzstrategie zuständig ist.