© akindo/iStock© akindo/iStock

informiert

Wegweiser im Verordnungsdschungel

Eine neue EU-Verordnung regelt künftig europaweit den Umgang von Unternehmen mit personen­bezogenen Daten. Damit werden Informations- und Dokumentationspflichten noch wichtiger – und kaum ein Unternehmen kann mehr sagen: „Das betrifft mich nicht.“

Schon der Begriff ist ein Ungetüm: EU-Datenschutz-Grundverordnung, kurz EU-DSGVO. Aber es hilft nichts: Unternehmen, die mit personenbezogenen Daten arbeiten – und das sind nahezu alle Unternehmen, vom kleinen Händler, der eine Website betreibt, bis zum Dax-Konzern –, müssen sich mit dieser Verordnung auseinandersetzen. Sie vereinheitlicht das Datenschutzrecht in Europa und löst viele aktuelle Vorschriften des deutschen Bundesdatenschutzgesetzes ab. Unternehmen sehen sich schon bald mit einer Vielzahl von Informations- und Dokumenta­tionspflichten konfrontiert, die sie bisher häufig vernachlässigt haben. Die Zeit drängt. Bis zum 25. Mai 2018 müssen sie die grundlegenden Maßnahmen der EU-DSGVO umsetzen. Sonst drohen empfindliche Strafen. Die Experten der Creditreform Compliance Services GmbH weisen den Weg durch den Verordnungsdschungel und nehmen, falls gewünscht, auch die Aufgaben und Pflichten eines externen Datenschutzbeauftragten wahr. Gerade dessen Rolle wird künftig noch sehr viel wichtiger werden.

Die wichtigsten Fragen und Antworten zur EU-DSGVO

Warum kommt eine gesetzliche Neuregelung?
Aktuell gelten in den Ländern der EU zum Teil sehr unterschiedliche Datenschutzgesetze. Mit Inkrafttreten der neuen Verordnung wird das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich vereinheitlicht. Wichtig: Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So ist sichergestellt, dass sich auch Cloud-Dienste oder soziale Netzwerke an die Regeln halten müssen.

Wer ist betroffen?
Die EU-DSGVO betrifft keineswegs nur große Unternehmen mit Tausenden von Kundenkontakten. Sie hat Folgen für alle Unternehmen, die im Internet aktiv sind, auch wenn sie nur Werbemails oder einen Newsletter verschicken. Die ursprüngliche Absicht des EU-Gesetzgebers, kleine Unternehmen zu entlasten, wurde am Ende doch nicht umgesetzt.

Was bedeutet die künftig geltende Rechenschaftspflicht?
Der Gedanke der Rechenschaftspflicht ist nicht neu, er erhält in Zukunft nur eine größere Bedeutung. Unternehmen müssen sich die Frage stellen, ob sie im Zweifel nachweisen können, ob sie ein Recht an den vorhandenen Daten haben – sei es auf der Basis einer Einwilligung oder einer Rechtsgrundlage. Letztendlich müssen die Unternehmen zu jedem Datensatz eine entsprechende Dokumentation vorhalten.

Wie dokumentieren Unternehmen ihre Datenschutzorganisation am besten?
Ausgehend von einer sorgfältigen Bestandsaufnahme, sollten Unternehmen eine grundlegende Datenschutzrichtlinie vorweisen können. Kernelement der Dokumentation der eigenen Datenschutzorganisation ist ein sogenanntes Verfahrensverzeichnis. Hier lassen sich alle relevanten Punkte, wie die Datenschutz-Folgenabschätzung sowie interne Audits, dokumentieren. Die Form dieses Verzeichnisses ist gesetzlich nicht vorgeschrieben.

Was ist unter einer Datenschutz-Folgenabschätzung zu verstehen?
Die Datenschutz-Folgenabschätzung (DSFA) ist nichts anderes als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle. Sie ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten und Leistungen oder seines Verhaltens, zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Wie die Vorabkontrolle dient die DSFA somit der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte der Betroffenen.

Welche Rolle spielt künftig der Datenschutzbeauftragte?
Wie bisher sind Unternehmen verpflichtet zu prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen. Wer mindestens zehn Mitarbeiter beschäftigt, die beispielsweise an einem Bildschirmarbeitsplatz mit E-Mails in Berührung kommen, ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Seine Aufgabe ist es zu prüfen, ob das Unternehmen den Datenschutz einhält. Dazu muss er die nötige Fachkenntnis (technisch und juristisch) besitzen und sich regelmäßig weiterbilden. Zudem sollte er keine leitende Position besitzen – sonst kann es leicht zu Interessenkonflikten kommen. Diese strengen Anforderungen führen dazu, dass viele Unternehmen externe Datenschutzbeauftragte benennen, zum Beispiel die Creditreform Compliance Services GmbH. Damit schaffen sie einen angemessenen Datenschutz-Standard und können sich auf ihr Kerngeschäft konzentrieren.

Wie steht es mit dem Recht auf Vergessenwerden?
Wer möchte, dass seine persönlichen Daten gelöscht werden, muss dieses Recht gegenüber Google, Facebook und anderen großen Konzernen auch durchsetzen können. Bisher war das häufig nur schwer möglich. Die neue Datenschutz-Grundverordnung stellt klar, wann sich Verbraucher auf das sogenannte Recht auf Vergessenwerden berufen können und wie Unternehmen dem nachkommen müssen. Grundsätzlich werden Unternehmen persönliche Daten von Verbrauchern immer dann löschen müssen, wenn die Betroffenen dies wünschen und es keine legitimen Gründe für eine weitere Speicherung und Verarbeitung der Daten gibt.

Was passiert nach Ablauf der Frist am 25. Mai 2018?
Es ist zu erwarten, dass die Aufsichtsbehörden künftig sehr viel genauer prüfen, ob Unternehmen geltende Datenschutzregelungen einhalten. Zunächst dürften sie verstärkt darauf achten, dass die Unternehmen tatsächlich ein Projekt zur Umsetzung an­gestoßen haben und erste Umsetzungserfolge sichtbar sind. Dabei sollten Größe und Budget in einem angemessenen Verhältnis stehen und kein Feigenblatt sein. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes.

— — — — —

Der Digitale EU-DSGV-Lotse

Die Datenschutz-Drehscheibe von Creditreform Compliance Services hilft, sich schnell im Regelwerk der neuen EU-Datenschutz-Grundverordnung ­zurechtzufinden. 

Wer einen bisher bekannten Paragrafen aus dem Bundesdatenschutzgesetz (BDSG) eingibt, erhält wichtige Informationen über die neue Norm. Mit der Drehscheibe lässt sich prüfen, ob ähnliche Regelungen auch in der EU-DSGVO existieren und wo diese zu finden sind. Umgekehrt findet jeder, der mit einem neuen Artikel aus der EU-Datenschutz­-Grundverordnung konfrontiert ist, schnell heraus, ob es eine vergleichbare Regelung auch im zuvor gültigen BDSG gab. Dazu findet sich ein Hinweis auf die Erwägungsgründe, die den Inhalt des Artikels näher beleuchten und hilfreiche Auslegungshinweise enthalten.


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentare

  1. Mit großem Interesse habe ich Ihren Artikel zur neuen EU-DSGVO gelesen. Bislang hat sich wegen der Änderung im Umgang mit Kundendaten nur The Guardian bei mir gemeldet!
    Daraus ergibt sich die folgende Frage. Sind es grundsätzlich die Betriebe etc. oder die Kunden bzw. die Verbraucher, die sich melden sollten?
    Des Weiteren interessiert es mich zu wissen, wie korrekt nach der EU-DSGVO gehen sollte bei freiwilligen Online-Tests. Beispielsweise um sich selber besser einschätzen zu können bei Bewerbungen etc.
    Ich bin gespannt auf Reaktionen!

    Antworten

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>