Die neue EU-Datenschutz-Grundverordnung: Das kommt nun auf Unternehmen zu

Berlin, den 26. Oktober, 2017 | Am 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten – zunächst in Form einer zweijährigen Übergangsphase, deren Ende nun in Sicht ist. Noch bis zum 25. Mai 2018 haben alle Unternehmen und Organisationen in der Europäischen Union Zeit, die neuen EU-weit geltenden Standards umzusetzen. Ab diesem Zeitpunkt werden Verstöße gegen die Verordnung mit empfindlichen Strafen geahndet. Doch was steckt hinter der EU-DSGVO, wer muss sich darüber Gedanken machen und wie können sich betroffenen Unternehmen und Organisationen wappnen, um den Anforderung zu genügen?

Daten als Grundlage

Daten sind die Grundlage der Digitalisierung

Zunächst ist es hilfreich zu betrachten, was die EU-DSGVO bewirkt. Denn einige Regelungen zum Datenschutz bleiben gleich, andere verändern sich und weitere kommen hinzu. Grundsätzlich gilt die Verordnung für „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ (Art. 2 Abs. 1 DSGVO). Betroffen sind also so gut wie alle Unternehmen und Organisationen in der EU, da es im digitalen Zeitalter kaum Ausnahmen gibt.

Ziel der Vorschriften sind der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“ sowie der Schutz der „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 1, 2 DSGVO). Aus dieser Sicht wird klar, wie weitreichend sich der sachliche Anwendungsbereich gestaltet.

Mehr Rechte für Privatpersonen, mehr Pflichten für Unternehmen

Was konkret gibt es nun für Unternehmen zu beachten? Einerseits erhalten Privatpersonen umfangreiche Rechte, über ihre Daten zu verfügen. Dazu gehören z. B.

  • Informationsrecht: Auskunft über Verantwortlichkeiten der Datenspeicherung, welche Rechte bestehen und wie mit den Daten gearbeitet wird
  • Auskunfts- und Widerspruchsrecht: Informationen darüber, welche Daten erhoben wurden, Dauer der Speicherung und Quelle sowie über das Recht der Berichtigung, Löschung und Widerspruch
  • Recht auf Berichtigung und Löschung: Sofortige Vervollständigung der Daten sowie Löschung z. B. nach Ende der Nutzungszeit oder bei Widerruf der Einwilligung des Betroffenen. Auf Wunsch: Nennung an wen Daten weitergegeben werden
  • Recht auf Datenübertragbarkeit: Z. B. bei Wechsel eines Anbieters zu einem Konkurrenten, Übertragbarkeit der Daten ohne deren Verlust
EU Parlamentsgebäude

Die EU entscheidet über die Datenschutz-Grundverordnung

Andererseits kommen den Unternehmen auch Pflichten zu, die diese grundsätzlich zu erfüllen haben, auch ohne Aktivwerden der Privatperson, deren Daten es speichert:

  • Technischer Datenschutz
    • Geeignete technische und organisatorische Maßnahmen zur Vermeidung von Risiken für personenbezogene Daten
    • Datenschutzfreundliche interne Voreinstellungen, eine Strategie die Daten schnellstmöglich zu pseudonymisieren, die Datenbearbeitung zu minimieren oder den Betroffenen die Überwachung der Datenbearbeitung zu ermöglichen
    • Verzeichnis von Verarbeitungstätigkeiten u. a. mit Verantwortlichem für die Verarbeitung, Zweck der Verarbeitung oder Weitergabe in Drittländer
  • Meldepflicht: umgehende Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (innerhalb 72 Stunden)
  • Datenschutz-Folgenabschätzung: z. B. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, sobald die Datenverarbeitung wahrscheinlich ein hohes Risiko verursacht, z. B. bei neuen Technologien, – wenn angemessen, müssen die betroffenen Personen einbezogen werden
einheitlicher Datenschutz unter der EU-Flagge

Die Vereinheitlichung europäischen Datenschutzrechtes ist auf dem Weg

Im Falle eines Verstoßes gegen das neue Gesetz, drohten Unternehmen in Deutschland bislang eine Strafe von bis zu 300.000€ pro Einzelfall. Das ändert sich nun. Nach EU-DSGVO drohen nun bis zu 20 Millionen € oder bis zu 4% des vergangen Jahresumsatzes, welt- und konzernweit – je nachdem, welcher Betrag höher ist. Unternehmen sollten also monetär ein starkes Interesse haben, die neuen Auflagen einzuhalten.

 

Die aufgeführten Punkte stellen selbstverständlich lediglich einen Ausschnitt aus der EU-Datenschutz-Grundverordnung dar. Der Gesetzestext oder die Erläuterungen auf der Seite von Datenschutzbeauftragter Info halten tiefergehend Informationen bereit.

Wie schaffen Unternehmen die Umsetzung der neuen Pflichten?

Eine entscheidende Hilfe bei der Umsetzung der neuen Pflichten werden für Unternehmen moderne Tools mit einfach zu bedienenden Analyse- und Reportingfunktionen sein. Nachhaltiges Datenmanagement ist die Grundlage dafür, dass Anfragen zu personenbezogenen Daten fristgerecht bearbeitet werden können. Denn nur ein Unternehmen, das eine klare Übersicht über seine Daten hat, kann über diese Auskunft geben, sie bearbeiten und der EU-DSGVO entsprechen.

Sollten Sie Interesse haben, sich über dieses Thema zu informieren und mit Unternehmensvertretern und anderen Datenexperten auszutauschen, bietet unser DatenFrühstück im März 2018 in Berlin eine hervorragende Gelegenheit dazu. Für weitere Informationen zum DatenFrühstück kontaktieren Sie unsere Kollegen Herrn Zimmermann und Frau Teichert. In den nächsten Monaten werden wir auch auf unserer Webseite über das Event informieren. Merken Sie sich schon mal den Termin vor: 22. März 2018!