Datenschutz: Was Unternehmen über die neue EU-Verordnung wissen müssen

Digitalisierung bedeutet häufig das digitale Speichern und Sammeln von Daten. Die EU begegnet den daraus entstehenden Datenschutz-Fragen mit einer neuen, strengeren Verordnung. Wir erklären die wichtigsten Punkte.

von Franziska Mülling

  • Am 25. Mai 2018 kommt die vor zwei Jahren in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) zur Anwendung. Sie sieht neue, strengere Richtlinien für Unternehmen vor.
  • Es geht vor allem um mehr Transparenz beim Umgang mit Daten. Dazu gehört unter anderem die vollständige Dokumentation der Datennutzung, das Einholen von Einwilligungen und die Aufklärung der Nutzer.
  • Unternehmen sollten sich jetzt darum kümmern, ihren Datenschutz rechtssicher zu gestalten.

Sie klingt nach Fachsprache und Anwaltsdeutsch, riecht nach Bergen von Papier und löst wahlweise Langeweile oder Abscheu aus: Die Rede ist von der EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai dieses Jahres zur Anwendung kommt. Viel ausladender kann ein Wort nicht klingen, viel unattraktiver ein Thema für einen Artikel nicht sein. Und wir schreiben dennoch darüber. Warum? Weil es wichtig ist.

Das sehen wir etwa bei Facebook, das gerade eine seiner schwersten Glaubwürdigkeitskrisen erlebt. Vor einigen Tagen war bekannt geworden, dass die Facebook-Spitze wusste, dass die Daten von 50 Millionen Nutzern an das Datenanalyseunternehmen Cambridge Analytica geflossen sind. Die Profile sollen genutzt worden sein, um Einfluss auf die US-Präsidentschaftswahlen 2016 zu nehmen.

Digitalisierung und digitale Transformation bedeuten fast zwangsläufig das Sammeln von Daten. Deshalb spielt der Datenschutz eine neue, bisher nicht dagewesene Rolle. Bereits ein Handwerksbetrieb, der Mitarbeiter- und Kundendaten nicht mehr in Telefonbüchern oder Karteien ablegt, sondern digital speichert, unterliegt der neuen Datenschutz-Grundverordnung.

Wir klären die wichtigsten Fragen.

Was hat es genau mit der neuen Verordnung auf sich?

Die neue EU-Datenschutz-Grundverordnung (DSGVO) regelt das Datenschutzrecht, also den Umgang von Unternehmen mit personenbezogenen Daten, einheitlich für die gesamte EU. Sie ist zwar schon am 25. Mai 2016 offiziell in Kraft getreten, kommt aber erst am 25. Mai dieses Jahres zur Anwendung. Für digitale und analoge Datenverarbeitungsprozesse gelten grundsätzlich dieselben Regeln, wobei Datenmissbrauch im digitalen Bereich erheblich wahrscheinlicher ist.

Was ändert sich?

Wegen der gestiegenen Datenschutz-Risiken gibt es nun höhere Anforderungen an Unternehmen. Außerdem gibt es schärfere Sanktionen: Statt der bisherigen Bußgelder von bis zu 300.000 Euro können jetzt Strafen von bis zu 20 Millionen Euro verhängt werden.

Welche konkreten Änderungen gibt es?

Detaillierte Dokumentation: Mit der DSGVO werden bisher geltende Regelungen und Vorschriften zum Datenschutz in Deutschland ergänzt. Zum einen müssen ab sofort alle Prozesse, in denen Daten verwendet werden, dokumentiert und protokolliert werden: Das gilt für das Erfassen, Ablegen und Speichern von Daten genau wie für das Löschen.

Bessere Aufklärung der Nutzer: Die Kunden oder Mitarbeiter, von denen die Daten stammen, müssen außerdem über die Verwendung der Daten informiert und aufgeklärt werden. Ein allgemeiner Hinweis auf die AGB reicht hier nicht mehr aus. Eine ausführliche „Information zur Datenverarbeitung“ (ehemals: Datenschutzerklärung) muss jederzeit zugänglich bereitgestellt werden.

Schriftliche Einverständniserklärungen: Abgesehen von persönlichen Daten, die beispielsweise zur Entstehung oder Abwicklung des Kunden- oder Arbeitsverhältnisses nötig sind, darf das Unternehmen nur dann etwas speichern oder weitergeben, sofern eine schriftliche Einverständniserklärung vorliegt. Auch die Nutzung der Daten ist damit nur zulässig, wenn sie vorher durch eine gesetzliche Vorschrift oder durch den Kunden oder Mitarbeiter bewilligt wurde – dies gilt zum Beispiel auch bei der Generierung personalisierter Werbung.

Datensammeln beschränken: Mit der Verordnung sollen gespeicherte personenbezogene Daten auf das geringstmögliche Maß beschränkt werden. Dafür gibt es gleich mehrere Absätze, etwa zu den Themen Zweckgebundenheit sowie zur Angabe von Dauer der Speicherung der Daten und der Datensicherheit. Bereits beim Erheben der Daten muss die betroffene Person genau darüber informiert werden, zu welchem Zweck die Daten erhoben, wie lange sie gespeichert und auch wie sie gesichert werden. Somit wird das grundlose unbefristete Speichern von Daten untersagt.

Was Unternehmen jetzt tun sollten:

  • Da es sich um eine umfassende Verordnung mit vielfältigen Pflichten für Unternehmen handelt, nehmen Sie am besten eine Rechtsberatung in Anspruch. Diese wird Ihren individuellen Fall prüfen und gemeinsam mit Ihnen den Datenschutz Ihres Unternehmens bis zum 25. Mai 2018 rechtssicher gestalten.
  • Prüfen Sie, ob Sie bereits über Verfahrensprotokolle verfügen oder ob diese neu angelegt werden müssen.
  • Kommen Sie Ihrer Informationspflicht nach und lassen Sie Ihre Datenschutzerklärung von einem Rechtsspezialisten hin zu den geforderten „Informationen zur Datenverarbeitung“ (IDV) ausbauen – egal in welcher Menge und Form Sie Daten von Ihren Kunden und Mitarbeitern erheben.
  • Darüber hinaus ist es wichtig, sich und Kollegen bezüglich Datenschutz und Hackerangriffen zu schulen – gerade mit Blick auf die starke Vernetzung innerhalb eines Betriebs, da die Angriffsfläche für digitale Übergriffe immer weiter wächst.
  • Benennen Sie einen betrieblichen Datenschutzexperten, der die nötige Fachkompetenz und Expertise zur neuen EU Datenschutz-Grundverordnung mitbringt. Seine Aufgabe ist es, die Einhaltung der Vorgaben durch Angestellte und Führungskräfte zu überwachen und die Verantwortung zu übernehmen, falls eine Datenschutzverletzung vorliegt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.