EU-Datenschutzgrundverordnung (DSGVO): Die Uhr tickt – was sich ändern wird

erstellt am: 24.05.2018 | von: Natalja Rotärmel | Kategorie(n): Blog, News

Morgen – den 25. Mai 2018 – tritt die neue EU-Datenschutzgrundverordnung (DSGVO, auf Englisch: General Data Protection Regulation, kurz GDPR) ausnahmelos in Kraft, die gewährleisten soll, dass Unternehmen personenbezogene Daten von Kunden und Mitarbeitern besser schützen. Die neuen Regelungen nach der DSGVO werden noch umfangreicher: dazu gehören Melde- und Dokumentationspflichten. Diese bringen sowohl für Privatpersonen und Unternehmen als auch öffentliche Stellen viele Neuerungen mit sich.

 

Was ist die DSGVO, für wen gilt diese und warum sollte ich einen Blick darauf werfen?
Die DSGVO ist ein neues EU-Gesetz, also ein Reglement, das ab dem 25. Mai 2018 europaweit Allgemeingültigkeit hat. Die Rechtsgrundlage regelt das Datenschutzrecht und den Umgang mit personalisierten Daten einheitlich in der gesamten EU. Haben Sie als Unternehmer ihre Prozesse an all die Regeländerungen angepasst? Denn morgen endet auch schon die zweijährige Übergangsfrist, an denen Mitgliedsstaaten die neuen Vorschriften in ihre nationalen Gesetze implementiert haben sollten. Die DSGVO gilt für alle, die automatisiert personenbezogene Daten verarbeiten, also für Großkonzerne aber auch für Selbstständige und Kleinbetriebe. Ausgenommen hiervon sind Privatpersonen – solange diese Personendaten nur für persönliche oder familiäre Zwecke verwenden.

 

Was genau wird sich durch die neue Verordnung ändern?
Im Folgenden wollen wir einen Überblick über einige wichtige Vorgaben des neuen Datenschutzrechts geben, die umgesetzt werden müssten. Das sind die Neuerungen:

Härtere Sanktionen, höhere Geldbußen und Unschuldsbeweis (Art. 83 Abs. 6 DSGVO): In Zukunft müssen Unternehmen bei Datenschutzverstößen bis zu 20 Millionen Euro oder 4% des Jahresunternehmensumsatzes als Strafe zahlen. Im Rahmen der neuen Beweisumkehr muss man als Verantwortlicher nachweisen, dass man rechtmäßig gehandelt hat.

Dokumentationspflichten: (Art. 30 DSGVO): Unternehmen müssen ein sog. Verarbeitungsverzeichnis führen. In ein solches Verzeichnis (d.h. Dokumentationen und Protokolle) müssen sämtliche Tätigkeiten und datenschutzrechtlich relevante Prozesse aufgenommen werden, die bei der Datenerhebung entstehen.

Zu beachten ist: Es besteht nun die Pflicht, ebenfalls ein Verarbeitungsverzeichnis über alle im Auftrag der Kunden verarbeiteten Daten zu erstellen.

Recht auf Vergessenwerden (Art. 17 DSGVO): Unternehmen müssen personenbezogene Daten und vernetzte Suchergebnisse auf Wunsch der Betroffenen löschen.

Einwilligung (Art. 7 DSGVO): Unternehmen, die personenbezogene Daten verarbeiten, müssen eine unmissverständliche und nachweisbare Zustimmung von Einzelpersonen einholen. Diese muss „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ erfolgen. Die Einwilligung muss jederzeit wiederrufen werden können.

Speicherungsdauer (Art. 5 DSGVO): Grundsätzlich dürfen Personendaten nur für einen bestimmten Verarbeitungszweck gespeichert werde und nur solange, wie es für den jeweiligen Zweck erforderlich ist.

Mindestalter (Art. 8 DSGVO): Das Mindestalter für eine wirksame Einwilligung ohne Zustimmung der Eltern wurde auf 16 Jahre festgelegt.

Zu beachten ist: Überprüfen Sie die Datenschutzerklärung für Ihre Zielgruppe und gleichen Sie diese gegebenenfalls an die neuen Regelungen an. Vergewissern Sie sich, dass Ihre Daten den neuen Mindestnormen für die Einwilligung und den Widerruf passen.

Meldepflichten (Art. 33 Abs. 1 DSGVO): Im Falle einer Verletzung des Schutzes personenbezogener Daten muss die zuständige Aufsichtsbehörde binnen 72 Stunden informiert, die Datenpanne dokumentiert und ein strikter Prozess- und Ablaufplan ausgearbeitet werden.

Grundsatz des Privacy by Design (Art. 25 Abs.1 DSGVO): Probleme bezüglich Datenschutz und Privatsphäre müssen schon bei der Entwicklung neuer Prozesse ermittelt und evaluiert werden.

Grundsatz des Privacy by Default (Art. 25 Abs.2 DSGVO): Webseitenbetreiber müssen künftig die datenschutzfreundlichsten Voreinstellungen besitzen.

Auftragsdatenverarbeitung (Art. 28 ff. DSGVO): In Zukunft werden sowohl Auftraggeber als auch Auftragnehmer für die Datennutzung ihrer Kunden gleichermaßen verantwortlich sein – für eventuelle Bußgelder können beide Seiten herangezogen werden.

Datenschutzbeauftragter (Art. 39 DSGVO): Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.

Zu beachten ist: Vergewissern Sie sich gemäß Art. 37 Abs.1 DSGVO, ob Sie dazu verpflichtet sind, einen Datenschutzbeauftragten zu ernennen.

Alle neuen Artikel mit den passenden Erwägungsgründen sind unter BDSG (neu) nachzulesen.

 

Regelmäßige Schulungen für Mitarbeiter
Welche Daten werden erhoben? Wo werden diese verarbeitet? Wie wird mit diesen umgegangen? Wird dies dokumentiert? Wer übernimmt diese Aufgaben? Um all diesen Fragen nachgehen zu können, sollten Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, entsprechend geschult werden.

 

Leichter gesagt als getan
Der Weg vom Gesetzgebungsverfahren bis hin zur neuen EU-DSGVO war beschwerlich und hat mehrere Jahre in Anspruch genommen. In den letzten zwei Jahren mussten Unternehmer prüfen, welche ihrer Prozesse und Abläufe von der neuen Gesetzgebung betroffen sind. Wer sich datenschutzkonform auf die neuen Regelungen eingestellt hat, sollte künftig weniger Probleme damit haben.
So haben auch wir, ein etabliertes Softwarte Development Startup, uns mit den neuen Anforderungen der europäischen Datenschutzgrundverordnung auseinandergesetzt und unsere Systeme an die neuen Regelungen angepasst. Im Zentrum unseres Denkens und Handelns stehen unsere Kunden, Partner und Mitarbeiter. Darum ist es unser Anliegen mit Transparenz, viel Zuverlässigkeit und Qualität die bestmögliche Sicherheit für jene Daten zu gewährleisten.

Kommentar schreiben