Noch zwei Monate bis zur Umsetzung der EU-Datenschutzgrundverordnung

Mittlerweile in aller Munde, teilweise mit einem Hauch von Panik oder Unverständnis, hat bisher jeder von den weitreichenden Änderungen im Datenschutz gehört. Die Datenschutzgrundverordnung soll grundlegend dafür sorgen, dass das Datenschutzrecht innerhalb der EU vereinheitlicht wird. In Kraft getreten ist die Verordnung bereits am 24. Mai 2016. Die Anwendung erfolgt aber erst jetzt, am 25. Mai 2018, nach einer zweijährigen Übergangsfrist.

Folgend möchten wir Ihnen einige selbst ausgewählte Schwerpunkte der Datenschutzgrundverordnung vorstellen. Detaillierte und bindende Informationen zur Umsetzung können nicht geliefert werden, Sie erhalten diese von Ihrem Rechtsanwalt oder Datenschutzbeauftragten. Bitte beachten Sie, dass unser Blog Ihnen wertvolle Hinweise gibt, aber keine rechtliche Beratung darstellt.

Verarbeitung der erhobenen Daten

Grundsätzlich ist die DSGVO ein Verbotsgesetz, welches die Verarbeitung von personenbezogenen Daten nicht erlaubt, es sei denn bestimmte Bedingungen werden erfüllt, wie z.B. das Vorliegen einer Rechtsgrundlage oder die Zustimmung der Person vor. Eine Rechtsgrundlage kann z.B. das Ausfüllen des Meldescheins auf Grundlage des Bundesmeldegesetztes sein. Eine Einwilligung der Person zur Datenverarbeitung sollte immer zweckgebunden, freiwillig, informiert und unmissverständlich erfolgen. Zusätzlich sollten Sie eine Einwilligung nachweisen können, weshalb diese bestmöglich schriftlich erfolgt. Die Verarbeitung von personenbezogenen Daten muss den Grundsätzen aus Art. 5 DSGVO folgen.

Recht auf Vergessenwerden

Mit diesem Punkt soll dem Verbraucher das Löschen seiner Daten vereinfacht werden. Erforderlich ist somit ein Prozess der Datenerhebung, der zu einem späteren Zeitpunkt die Löschung dieser Daten ermöglicht. Steht der Löschung das Handels- oder Steuerrecht entgegen, kann ggf. auch das Sperren der Daten in Betracht gezogen werden. Auch Dritte und Auftragsverarbeiter sollten die Daten nach einer Löschaufforderung von Nutzern löschen. Weiterhin gilt, dass Daten nach Ablauf Ihres Verwendungszwecks gelöscht werden sollten.

Informieren der Nutzer und Behörden

Die Personen sollten vor Erhebung der Daten darüber informiert werden, welche Daten erhoben werden, zu welchem Zweck diese erhoben werden und wie der Umgang mit den Daten erfolgt. Zusätzlich sollte ein personenbezogener Kontakt, ein Hinweis auf das Widerspruchsrecht und die Datenschutzbedingungen angegeben werden. Neben der Vorabinformation zum Zeitpunkt der Datenerhebung, hat der Betroffene auch einen nachträglichen Informationsanspruch.

Bei einer Verletzung des Datenschutzrechts ist sowohl die Person als auch die zuständige Aufsichtsbehörde zu informieren.

Dokumentation der Datenverarbeitung

Mit dem in Kraft treten der Datenschutzgrundverordnung ist für jedes Unternehmen eine weitreichende Dokumentationspflicht verbunden. Diese dient u.a. zum Nachwweis, dass die Gesetzte eingehalten werden. Jederzeit sollte Ihr Unternehmen in der Lage sein, Rechenschaft über Einhaltung der Gesetze ablegen zu können.

Was ist u.a. zu dokumentieren:

  • Welche Daten liegen mir vor?
  • Was geschieht mit den Daten?
  • Welche Software wird für die Verarbeitung genutzt?
  • Wer hat Zugriff auf die Daten?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen?

Haftungsansprüche und Strafen

Um den Datenschutz als ernstzunehmende Angelegenheit zu deklarieren und das billigende In-Kauf-Nehmen von Bußgeldern zu minimieren, wurden diese deutlich erhöht. Bußgelder können in zweistelliger Millionenhöhe ausfallen oder bei Organisationen an den Jahresumsatz gekoppelt werden. Zwischen 2 – 4% vom Umsatz (nicht Gewinn) des vorherigen Geschäftsjahres können als Bußgeld anfallen. Zusätzlich haften Unternehmen nicht nur für Fehler in der Verarbeitung, sondern auch, wenn die Datenverarbeitung nicht nach den Erwartungen des Betroffenen erfolgt.

Hinweise zum ersten Vorgehen

Für eine erste Einschätzung zum Umfang der Auswirkungen auf das eigene Unternehmen ist es sinnvoll, eine Analyse und Bestandsaufnahme der eigenen Prozesse anzufertigen. Hierbei sollten alle Prozesse berücksichtigt werden, bei denen personenbezogene Daten erhoben und/oder verarbeitet werden. Besondere Beachtung sollten folgende Fragestellungen erhalten.

  • Wo werden die Daten erhoben?
  • Welche Daten werden erhoben?
  • Zu welchem Zweck werden die Daten erhoben?
  • Werden nur die Daten erhoben, die für den konkreten Zweck erforderliche sind?
  • Wie erfolgt die Weiterverarbeitung der Daten und ist diese Weiterverarbeitung rechtskonform?
  • Wer ist Datenschutzbeauftragter des Unternehmens?
  • Habe ich alle Vorgänge dokumentiert?

Bitte beachten Sie, dass der obenstehende Artikel keine rechtliche Beratung darstellt, sondern lediglich Tipps und Hinweise aufzeigt. Von einer juristischen Korrektheit und Haftung grenzen wir uns ab.

Like it? Share it!