Eine neue EU-Verordnung regelt künftig europaweit den Umgang von Unternehmen mit personenbezogenen Daten. Damit werden Informations- und Dokumentationspflichten noch wichtiger – und kaum ein Unternehmen kann mehr sagen: „Das betrifft mich nicht.“
Schon der Begriff ist ein Ungetüm: EU-Datenschutz-Grundverordnung, kurz EU-DSGVO. Aber es hilft nichts: Unternehmen, die mit personenbezogenen Daten arbeiten – und das sind nahezu alle Unternehmen, vom kleinen Händler, der eine Website betreibt, bis zum Dax-Konzern –, müssen sich mit dieser Verordnung auseinandersetzen. Sie vereinheitlicht das Datenschutzrecht in Europa und löst viele aktuelle Vorschriften des deutschen Bundesdatenschutzgesetzes ab. Unternehmen sehen sich schon bald mit einer Vielzahl von Informations- und Dokumentationspflichten konfrontiert, die sie bisher häufig vernachlässigt haben. Die Zeit drängt. Bis zum 25. Mai 2018 müssen sie die grundlegenden Maßnahmen der EU-DSGVO umsetzen. Sonst drohen empfindliche Strafen. Die Experten der Creditreform Compliance Services GmbH weisen den Weg durch den Verordnungsdschungel und nehmen, falls gewünscht, auch die Aufgaben und Pflichten eines externen Datenschutzbeauftragten wahr. Gerade dessen Rolle wird künftig noch sehr viel wichtiger werden.
Die wichtigsten Fragen und Antworten zur EU-DSGVO
Warum kommt eine gesetzliche Neuregelung?
Aktuell gelten in den Ländern der EU zum Teil sehr unterschiedliche Datenschutzgesetze. Mit Inkrafttreten der neuen Verordnung wird das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich vereinheitlicht. Wichtig: Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So ist sichergestellt, dass sich auch Cloud-Dienste oder soziale Netzwerke an die Regeln halten müssen.
Wer ist betroffen?
Die EU-DSGVO betrifft keineswegs nur große Unternehmen mit Tausenden von Kundenkontakten. Sie hat Folgen für alle Unternehmen, die im Internet aktiv sind, auch wenn sie nur Werbemails oder einen Newsletter verschicken. Die ursprüngliche Absicht des EU-Gesetzgebers, kleine Unternehmen zu entlasten, wurde am Ende doch nicht umgesetzt.
Was bedeutet die künftig geltende Rechenschaftspflicht?
Der Gedanke der Rechenschaftspflicht ist nicht neu, er erhält in Zukunft nur eine größere Bedeutung. Unternehmen müssen sich die Frage stellen, ob sie im Zweifel nachweisen können, ob sie ein Recht an den vorhandenen Daten haben – sei es auf der Basis einer Einwilligung oder einer Rechtsgrundlage. Letztendlich müssen die Unternehmen zu jedem Datensatz eine entsprechende Dokumentation vorhalten.
Wie dokumentieren Unternehmen ihre Datenschutzorganisation am besten?
Ausgehend von einer sorgfältigen Bestandsaufnahme, sollten Unternehmen eine grundlegende Datenschutzrichtlinie vorweisen können. Kernelement der Dokumentation der eigenen Datenschutzorganisation ist ein sogenanntes Verfahrensverzeichnis. Hier lassen sich alle relevanten Punkte, wie die Datenschutz-Folgenabschätzung sowie interne Audits, dokumentieren. Die Form dieses Verzeichnisses ist gesetzlich nicht vorgeschrieben.
Was ist unter einer Datenschutz-Folgenabschätzung zu verstehen?
Die Datenschutz-Folgenabschätzung (DSFA) ist nichts anderes als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle. Sie ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten und Leistungen oder seines Verhaltens, zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Wie die Vorabkontrolle dient die DSFA somit der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte der Betroffenen.
Welche Rolle spielt künftig der Datenschutzbeauftragte?
Wie bisher sind Unternehmen verpflichtet zu prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen. Wer mindestens zehn Mitarbeiter beschäftigt, die beispielsweise an einem Bildschirmarbeitsplatz mit E-Mails in Berührung kommen, ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Seine Aufgabe ist es zu prüfen, ob das Unternehmen den Datenschutz einhält. Dazu muss er die nötige Fachkenntnis (technisch und juristisch) besitzen und sich regelmäßig weiterbilden. Zudem sollte er keine leitende Position besitzen – sonst kann es leicht zu Interessenkonflikten kommen. Diese strengen Anforderungen führen dazu, dass viele Unternehmen externe Datenschutzbeauftragte benennen, zum Beispiel die Creditreform Compliance Services GmbH. Damit schaffen sie einen angemessenen Datenschutz-Standard und können sich auf ihr Kerngeschäft konzentrieren.
Wie steht es mit dem Recht auf Vergessenwerden?
Wer möchte, dass seine persönlichen Daten gelöscht werden, muss dieses Recht gegenüber Google, Facebook und anderen großen Konzernen auch durchsetzen können. Bisher war das häufig nur schwer möglich. Die neue Datenschutz-Grundverordnung stellt klar, wann sich Verbraucher auf das sogenannte Recht auf Vergessenwerden berufen können und wie Unternehmen dem nachkommen müssen. Grundsätzlich werden Unternehmen persönliche Daten von Verbrauchern immer dann löschen müssen, wenn die Betroffenen dies wünschen und es keine legitimen Gründe für eine weitere Speicherung und Verarbeitung der Daten gibt.
Was passiert nach Ablauf der Frist am 25. Mai 2018?
Es ist zu erwarten, dass die Aufsichtsbehörden künftig sehr viel genauer prüfen, ob Unternehmen geltende Datenschutzregelungen einhalten. Zunächst dürften sie verstärkt darauf achten, dass die Unternehmen tatsächlich ein Projekt zur Umsetzung angestoßen haben und erste Umsetzungserfolge sichtbar sind. Dabei sollten Größe und Budget in einem angemessenen Verhältnis stehen und kein Feigenblatt sein. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes.
Der Digitale EU-DSGV-Lotse
Die Datenschutz-Drehscheibe von Creditreform Compliance Services hilft, sich schnell im Regelwerk der neuen EU-Datenschutz-Grundverordnung zurechtzufinden.
Wer einen bisher bekannten Paragrafen aus dem Bundesdatenschutzgesetz (BDSG) eingibt, erhält wichtige Informationen über die neue Norm. Mit der Drehscheibe lässt sich prüfen, ob ähnliche Regelungen auch in der EU-DSGVO existieren und wo diese zu finden sind. Umgekehrt findet jeder, der mit einem neuen Artikel aus der EU-Datenschutz-Grundverordnung konfrontiert ist, schnell heraus, ob es eine vergleichbare Regelung auch im zuvor gültigen BDSG gab. Dazu findet sich ein Hinweis auf die Erwägungsgründe, die den Inhalt des Artikels näher beleuchten und hilfreiche Auslegungshinweise enthalten.
Mit großem Interesse habe ich Ihren Artikel zur neuen EU-DSGVO gelesen. Bislang hat sich wegen der Änderung im Umgang mit Kundendaten nur The Guardian bei mir gemeldet!
Daraus ergibt sich die folgende Frage. Sind es grundsätzlich die Betriebe etc. oder die Kunden bzw. die Verbraucher, die sich melden sollten?
Des Weiteren interessiert es mich zu wissen, wie korrekt nach der EU-DSGVO gehen sollte bei freiwilligen Online-Tests. Beispielsweise um sich selber besser einschätzen zu können bei Bewerbungen etc.
Ich bin gespannt auf Reaktionen!