Mit 25.05.2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten und gilt seit diesem Zeitpunkt für alle EU Bürger. Das Ziel dahinter ist eine europaweite, einheitliche Regelung im Umgang mit personenbezogenen Daten. In der Vorbereitung mit den Neuregelungen traten vor allem für Unternehmen viele Fragen auf.
1. Umfassende Dokumentationspflicht
Accountability, die Rechenschaftspflicht von Unternehmen, bildet den Schwerpunkt der Datenschutzgrundverordnung. Diese Verordnung verpflichtet Unternehmen, anders als bislang, eine hausinterne Dokumentation zu führen. Darin muss aufgelistet werden, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden sowie eine Erklärung, wann das Unternehmen diese wieder löscht.
2. Grundsätze von Privacy by Design und Privacy by Default
Privacy by Design besagt, dass ein Unternehmen bereits beim technischen Aufbau der Online-Dienste darauf achten muss, Datenschutzprobleme im Vorhinein zu erkennen, zu prüfen und zu vermeiden. Maßnahmen zum Datenschutz dürfen somit nicht erst zweitrangig implementiert werden.
Privacy by Default meint die datenschutzfreundlichste Handhabung der Einstellung für Verbraucher. Personenbezogene Daten sollen ausschließlich dann verarbeitet werden, wenn dies für einen Zweck notwendig ist. Ebenso obliegt es dem Verbraucher zu entscheiden, ob er Dritten den Zugriff auf seine Daten gewähren möchte.
3. Auskunftsrecht und das Recht auf Löschung
Verbraucher haben das Recht zu erfahren, welche persönlichen Daten von einem Unternehmen gespeichert und wofür diese verwendet werden. Ebenso müssen diese gelöscht werden, wenn die Einwilligung seitens des Verbrauchers widerruft wird oder der Zweck der Speicherung erfüllt wurde.
4. Grundsatz der Transparenz
Zukünftig ist es erforderlich, neben den Kontaktdaten des personenbezogenen verarbeitenden Unternehmens auch die Daten des unternehmenszuständigen Datenschutzbeauftragten in der Datenschutzerklärung anzuführen. Zusätzlich muss der Verbraucher darin auf seine Rechte hingewiesen werden.
5. Recht auf Datenübertragbarkeit
Verbraucher haben das Recht, bereitgestellte Daten in einem strukturierten und maschinenlesbaren Format an einen anderen Verantwortlichen zu übertragen. Dieses „Mitnehmen" hat dabei direkt zwischen den beiden Parteien zu erfolgen.
6. Komplexe Einwilligungsregelung
Wie bereits bisher muss der Verbraucher auch zukünftig der Nutzung von persönlichen Daten ausdrücklich zustimmen. Die Verwendung dieser Daten ist nur für den Zweck gültig, für den der Verbraucher seine Zustimmung gegeben hat. Grundsätzlich ist eine leicht verständliche Formulierung der Einwilligungserklärung zu wählen. Ein Widerruf muss jederzeit möglich und ebenso einfach in der Abwicklung sein.
7. Meldepflicht
Im Falle einer Datenschutzpanne gilt es bei Verletzung des Schutzes personenbezogener Daten binnen 72h dies der zuständigen Behörde zu melden. Zusätzlich müssen Unternehmen alle etwaigen Verletzungen beim Schutz der Daten durch eine Beschreibung der Fakten, deren Auswirkung und die Maßnahmen dagegen dokumentieren und kommunizieren.
8. Härte Sanktionen bei Verstößen
Bei Datenschutzverstößen drohen Unternehmen zukünftig bis zu 20 Mio. Euro oder 4% des Jahresumsatzes Strafe. Bislang mussten Behörden die Verstöße nachweisen, nun obliegt es im Rahmen der Beweislastumkehrung den Unternehmen ein regelkonformes Vorgehen vorzulegen.
Haben Sie alle wichtigen Punkte der DSGVO bedacht?
Wir bieten im Folgenden eine Zusammenfassung der neuen Gesetzeslage und Hilfestellungen in Form einer Checkliste, mit der Sie Ihr Unternehmen schnell und einfach DSGVO-fit machen.
Folgend ein Überblick der wichtigsten Veränderungen:
Accountability, die Rechenschaftspflicht von Unternehmen, bildet den Schwerpunkt der Datenschutzgrundverordnung. Diese Verordnung verpflichtet Unternehmen, anders als bislang, eine hausinterne Dokumentation zu führen. Darin muss aufgelistet werden, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden sowie eine Erklärung, wann das Unternehmen diese wieder löscht.
2. Grundsätze von Privacy by Design und Privacy by Default
Privacy by Design besagt, dass ein Unternehmen bereits beim technischen Aufbau der Online-Dienste darauf achten muss, Datenschutzprobleme im Vorhinein zu erkennen, zu prüfen und zu vermeiden. Maßnahmen zum Datenschutz dürfen somit nicht erst zweitrangig implementiert werden.
Privacy by Default meint die datenschutzfreundlichste Handhabung der Einstellung für Verbraucher. Personenbezogene Daten sollen ausschließlich dann verarbeitet werden, wenn dies für einen Zweck notwendig ist. Ebenso obliegt es dem Verbraucher zu entscheiden, ob er Dritten den Zugriff auf seine Daten gewähren möchte.
3. Auskunftsrecht und das Recht auf Löschung
Verbraucher haben das Recht zu erfahren, welche persönlichen Daten von einem Unternehmen gespeichert und wofür diese verwendet werden. Ebenso müssen diese gelöscht werden, wenn die Einwilligung seitens des Verbrauchers widerruft wird oder der Zweck der Speicherung erfüllt wurde.
4. Grundsatz der Transparenz
Zukünftig ist es erforderlich, neben den Kontaktdaten des personenbezogenen verarbeitenden Unternehmens auch die Daten des unternehmenszuständigen Datenschutzbeauftragten in der Datenschutzerklärung anzuführen. Zusätzlich muss der Verbraucher darin auf seine Rechte hingewiesen werden.
5. Recht auf Datenübertragbarkeit
Verbraucher haben das Recht, bereitgestellte Daten in einem strukturierten und maschinenlesbaren Format an einen anderen Verantwortlichen zu übertragen. Dieses „Mitnehmen" hat dabei direkt zwischen den beiden Parteien zu erfolgen.
6. Komplexe Einwilligungsregelung
Wie bereits bisher muss der Verbraucher auch zukünftig der Nutzung von persönlichen Daten ausdrücklich zustimmen. Die Verwendung dieser Daten ist nur für den Zweck gültig, für den der Verbraucher seine Zustimmung gegeben hat. Grundsätzlich ist eine leicht verständliche Formulierung der Einwilligungserklärung zu wählen. Ein Widerruf muss jederzeit möglich und ebenso einfach in der Abwicklung sein.
7. Meldepflicht
Im Falle einer Datenschutzpanne gilt es bei Verletzung des Schutzes personenbezogener Daten binnen 72h dies der zuständigen Behörde zu melden. Zusätzlich müssen Unternehmen alle etwaigen Verletzungen beim Schutz der Daten durch eine Beschreibung der Fakten, deren Auswirkung und die Maßnahmen dagegen dokumentieren und kommunizieren.
8. Härte Sanktionen bei Verstößen
Bei Datenschutzverstößen drohen Unternehmen zukünftig bis zu 20 Mio. Euro oder 4% des Jahresumsatzes Strafe. Bislang mussten Behörden die Verstöße nachweisen, nun obliegt es im Rahmen der Beweislastumkehrung den Unternehmen ein regelkonformes Vorgehen vorzulegen.
Empfehlung für Unternehmen:
Falls Sie die Abläufe in Ihrem Unternehmen bislang noch nicht optimal an die neue Datenschutzgrundverordnung angepasst haben, sollte dies möglichst rasch nachgeholt werden, um hohe Bußgelder bei Verstößen zu vermeiden.
Zunächst müssen interne Abläufe evaluiert werden – welche Daten werden verwendet, verarbeitet und weitergegeben? Nutzen Sie hierfür unsere kostenlose DSGVO-Checkliste mit zahlreichen Tipps und konkreten Anleitungen zur Umsetzung.
Ohne professionelle Beratung kann es schwierig sein, interne Prozesse an die neue Rechtslage anzupassen. Holen Sie sich praxisnahe Tipps von unserem Experten Dr. Gerold M. Oberhumer im Seminar "Update Datenschutzrecht".
Gerne können Sie sich das Experten Know-How zu Ihnen ins Unternehmen holen. Wir informieren Sie gerne über eine Inhouse-Schulung. Dabei gestalten wir den Inhalt gemeinsam mit unserem Top-Speaker flexibel und an Ihre Bedürfnisse angepasst.
Gerne können Sie sich das Experten Know-How zu Ihnen ins Unternehmen holen. Wir informieren Sie gerne über eine Inhouse-Schulung. Dabei gestalten wir den Inhalt gemeinsam mit unserem Top-Speaker flexibel und an Ihre Bedürfnisse angepasst.