Artikel

Die Uhr tickt

01 Mär 2018

Mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) wird der Schutz personenbezogener Daten für die gesamte Europäische Union zum ersten Mal einheitlich geregelt. Was Unternehmen jetzt beachten sollten.

Bald ist es so weit: Am 25. Mai 2018 wird die Europäische Datenschutzgrundverordnung (EU-DSGVO) wirksam. Mit der Verordnung bekommen Nutzer die Hoheit über ihre Daten zurück, denn die Verwendung personenbezogener Daten war EU-weit lange völlig unheitlich geregelt. Diesen rechtlichen Flickenteppich machten sich insbesondere die großen Datenkraken der Internetwirtschaft wie Facebook, Google oder Amazon zunutze. Bislang konnten sich solche Konzerne in Ländern mit vergleichsweise laxem Datenschutzrecht wie etwa Irland niederlassen und so strengere Auflagen umgehen. Diese Zeiten sind nun eindeutig passé.

Wettbewerbsvorteil statt -nachteil

Doch: „Unternehmen sollten die EU-DSGVO nicht als Verbotsgesetz für das Datengeschäft betrachten. Vielmehr stellt sie die Leitplanken für einen verantwortungsvollen Umgang mit Daten im Sinne aller Beteiligten“, sagt Oliver Heinemann, Leiter Recht und Datenschutz sowie Datenschutzbeauftragter bei Bisnode Deutschland. Zum einen unterbindet die Neuregelung die seit Jahren grassierende Verletzung von Persönlichkeitsrechten der Verbraucher, zum anderen ebnet sie aber auch den Weg für einen digitalen Binnenmarkt der EU. Denn die Gewährleistung von Datenschutzrechten schafft Vertrauen in wichtige digitale Trends wie Big Data, Cloud-Computing oder das Internet der Dinge. Damit ergibt sich für die EU ein Wettbewerbsvorteil gegenüber Staaten, in denen diese Rechte nicht gewährt werden.

Vier große Aufgabenbereiche

Als Informationsdienstleister ist Bisnode seit Jahrzehnten mit dem Datenschutzthema vertraut. „Wir sind auf diesem Gebiet gut aufgestellt“, so Heinemann.  Dennoch warnt der Experte:

Es wird in Zukunft nicht mehr ausreichen, einen Datenschutzbeauftragten zu ernennen, in der Erwartung, damit sei das Thema erledigt. Die EU-DSGVO berührt alle Unternehmensbereiche.

Oliver Heinemann, Leiter Recht und Datenschutz bei Bisnode

Doch was müssen Unternehmen nun tun, um der neuen Rechtslage zu entsprechen? Es ergeben sich vier große Aufgabenbereiche:

  1. Überprüfen, ob hinreichende Rechtsgrundlagen für die Datenverarbeitung bestehen.
  2. Sicherstellen, dass Betroffenenrechte ordnungsgemäß erfüllt werden.
  3. Datenschutz schon im Planungsstadium der technischen Abläufe berücksichtigen.
  4. Vollständige und stets aktuelle Dokumentation der Datenverarbeitungsverfahren gewährleisten.

Dokumentation ist essentiell

Zu den Neuerungen mit starken Auswirkungen für die Praxis gehören insbesondere die umfassenden Dokumentationspflichten. Denn die DSGVO fordert von den Verantwortlichen nicht nur, dass sie die Gesetze einhalten. Sie müssen das auch jederzeit nachweisen können. Die Regelung zur Rechtmäßigkeit der Datenverarbeitung (Art. 6, DSGVO) legt fest, wann Datenverarbeitung erlaubt ist. Unter Umständen muss der Betroffene etwa in die Verarbeitung seiner Daten einwilligen. Ein weiterer Baustein der neuen EU-Verordnung sind die Rechte der Betroffenen, geregelt in Artikel zwölf folgende. Darunter fällt unter anderem das Recht zu erfahren, ob personenbezogene Daten verarbeitet werden. Zentraler Baustein ist außerdem das Recht auf Löschung: Betroffene Personen haben ein Recht darauf, dass personenbezogene Daten unverzüglich gelöscht werden, falls gewisse Bedingungen erfüllt sind. Etwa wenn die erhobenen Daten für den jeweiligen Verarbeitungszweck nicht mehr benötigt werden. „Beim ‚Datenschutz durch Technik‘ geht es um technische Maßnahmen wie Verschlüsselungsverfahren oder Firewalls, die dem Schutz personenbezogener Daten dienen. Sie haben dem Stand der Technik zu entsprechen, berücksichtigen aber auch die Implementierungskosten. Verstöße gegen die EU-DSGVO können teuer werden: Bereits bei geringeren Zuwiderhandlungen können bis zu zwei Prozent des weltweiten Jahresumsatzes fällig werden.

EU-DSGVO-Checkliste*

✔ Datenschutzbeauftragten stärker einbinden: Der Datenschutzbeauftragte weist die Zuständigkeiten für den Schutz personenbezogener Daten zu. Er muss außerdem überprüfen, ob die DSGVO im Unternehmen eingehalten wird (Art. 39 Abs. 1 lit. b).

✔ Folgen der Datenverarbeitung abschätzen: Kommt es durch die Datenverarbeitung zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Datenschutzbeauftragte die Folgen für die Betroffenen abschätzen (Art. 35).

✔ Prozesse definieren: Vorgänge bezüglich Datenpannen, Betroffenenrechte, Informationspflichten und Ähnlichem festlegen und gestalten. Wird etwa der Schutz personenbezogener Daten verletzt, muss dies binnen 72 Stunden gemeldet werden (Art. 12, 33 f.).

✔ Alle Prozesse dokumentieren: Der Datenschutzbeauftragte muss die Einhaltung der DSGVO lückenlos nachweisen können. Daher sollten Unternehmen unbedingt alle datenschutzrelevanten Prozesse dokumentieren (Art. 5, Abs. 2).

✔ Verträge mit beauftragten Datenverarbeitern anpassen: Bestandsverträge mit sogenannten Auftragsdatenverarbeitern sind an die neue Rechtslage anzupassen. Es empfiehlt sich, einen Vertragszusatz zu entwickeln, der Änderungen nachjustiert (Art. 28).

✔ Schulungsplanung aufstellen: Der Datenschutzbeauftragte ist für die Sensibilisierung und Schulung der Personen zuständig, die an der Datenverarbeitung beteiligt sind. Die Erstellung eines Schulungsplans gehört daher zu seinen Aufgaben (Art. 39 Abs. 1 lit. b).

✔ Formulare und Einwilligungen überprüfen: Beruht die Verarbeitung von Daten auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person eingewilligt hat. Formulare müssen in klarer, einfacher Sprache gehalten werden (Art. 7).

✔ Datenschutzerklärung und Webtracking anpassen: Erhebt ein Unternehmen personenbezogene Daten, so hat der Verantworliche dem Betroffenen unter anderem den Zweck der Datenverarbeitung, die Dauer der Speicherung sowie die Kontaktdaten des Verantwortlichen mitzuteilen. Darüber hinaus muss der Betroffene darüber informiert werden, dass er ein Recht auf Berichtigung oder Löschung seiner Daten, Einschränkung oder Widerspruch sowie Auskünfte zur Verarbeitung hat (Art. 13).

*Quelle: datenschutz nord Gruppe. die Maßnahmenliste erhebt keinen Anspruch auf Vollständigkeit.

Bisnode Infomails

Anrede


Hinweise zum Datenschutz

Die Vertraulichkeit und Integrität Ihrer persönlichen Angaben ist Bisnode ein besonderes Anliegen. Wir werden Ihre Angaben daher sorgfältig und entsprechend den gesetzlichen Bestimmungen zum Datenschutz verarbeiten. Die von Ihnen angegebenen Daten nutzen wir ausschließlich zum Zweck der Zusendung der Bisnode Infomails. Sie können sich jederzeit direkt in den Infomails wieder abmelden. Mehr zum Datenschutz hier lesen