Welche Kernaspekte sind zu beachten?

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO), auf englisch: GDPR für General Data Protection Regulation in der EU in Kraft. In Deutschland wird das Bundesdatenschutzgesetz (BDSG) zu diesem Datum durch das BDSG (neu) ersetzt, das einige Artikel der DSGVO noch detaillierter beziehungsweise stringenter definiert. An diesem Tag muss jedes Unternehmen alle Vorbereitungen für die DSGVO abgeschlossen haben!

Die DSGVO konzentriert sich insbesondere auf den Schutz der Daten von “natürlichen Personen” bei der Verabeitung dieser Daten in den Unternehmen. Die bestehenden Verfahren zur Verarbeitung personenbezogener Daten müssen daher in Hinblick auf Konformität zur DSGVO überprüft werden.

Wir haben Ihnen hier die Kernaspekte zusammengefasst:

Geografische Reichweite

Die GDPR beschränkt sich nicht auf die Staaten der EU, sondern kann standortunabhängig auf alle Unternehmen angewendet werden, die persönliche Daten innerhalb der EU oder persönliche Daten von EU-Bürgern verarbeiten.

Beim Datenaustausch persönlicher Daten mit anderen Unternehmen muss sichergestellt werden, dass das Partnerunternehmen ebenfalls die Daten konform zur DSGVO verarbeitet!

Konsens & Einwilligungserklärung

Die Bereitschaft eines Unternehmens, persönliche Daten konform zu den Vorgaben der DSGVO zu handhaben und zu verarbeiten, muss klar definiert und protokolliert werden.

Das Unternehmen muss nachweisen, dass die Person in die Verarbeitung ihrer Daten eingewilligt hat. Diese Einwilligungserklärung muss in klarer und einfacher Sprache verfasst sein und die Einwilligung selbst muss freiwillig erfolgt sein.

Neue Nachweispflicht: Das Unternehmen muss nachweisen, dass es DSGVO konform arbeitet.

Das Recht auf Auskunft – Das Recht auf Vergessen werden

Personen haben ein Recht darauf zu erfahren, welche Daten im Unternehmen von ihnen gespeichert sind, wo sie verarbeitet werden und zu welchem Zweck.

Zusätzlich haben Sie das Recht, die Löschung der Daten zu verlangen.

Bei der Entwicklung von Verfahren, um dem Auskunfts- beziehungsweise  Löschbegehren einer Person nachzukommen, darf man aber gleichzeitig niemals die gesetzlichen Aufbewahrungsfristen außer Acht lassen. Die IT ist hier stark gefordert. Auskunft wie auch Löschung sind bei den in der Regel stark verteilten Daten in einem Unternehmen oft nicht einfach umsetzbar.

Privacy by Default and Design

Der Datenschutz muss von Anfang an implementiert sein. Das heisst, dass nur die Daten gespeichert werden dürfen, die für den Verarbeitungszweck nötig sind.

Wenn ein Unternehmen z.B. Artikel versendet, dann ist es zweckgebunden nötig den Namen und die Anschrift des Empfängers zu speichern. Aber z.B. nicht dessen Geburtsdatum oder seinen Standort zum Zeitpunkt der Bestellung!

Höhere Sicherheitsanforderungen

Alle Verarbeitungsprozesse müssen in Hinsicht auf die Zugriffsrechte geprüft werden. In vielen Unternehmen wird es nötig, ein Verfahrensverzeichnis zu führen, in dem die einzelnen Verarbeitungsprozesse detailliert protokolliert werden.

Verschlüsselung und Zugriffsrechte/Benutzerrollen müssen häufig neu definiert und angewendet werden.

Generell ist bei den persönlichen Daten zusätzlich noch die Kategorie der “sensiblen” Daten zu beachten, dies sind z.B. Kontendaten, genetische Daten, etc. Bei der Verarbeitung dieser Daten gelten zusätzliche Auflagen.

Awareness

Nicht nur die Mitarbeiter müssen – in der Regel durch Schulungen – sensibilisiert werden – auch die Geschäftsleitung.

Strafen

Bei Verletzung der gesetzlichen Regelungen der DSGVO können sehr hohe Strafen verhängt werden: Bis zu 20 Mio. oder bis zu 4% des Jahresumsatzes – je nachdem was der höhere Betrag ist!

Nicht zuletzt werden diese hohen Strafen dafür sorgen, dass sowohl große, internationale Konzerne wie auch kleinere Unternehmen sich mit den neuen Gesetzen auseinandersetzen müssen.

Verantwortlichkeit / DSB

Der Datenschutzbeauftragte (DSB) übernimmt viele der Aufgaben – aber die Verantwortung bleibt bei der Geschäftsführung.

Das Recht des Individuums zur Speicherung und Verarbeitung seiner “persönlichen Daten” wird durch das Inkrafttreten der DSGVO in vielerlei Hinsicht gestärkt! Die Umkehrung der Nachweispflicht, also dass ein Unternehmen nachweisen muss, dass es die persönlichen Daten konform zur DSGVO schützt und ausschließlich zweckgebunden nutzt, ist ein sehr wichtiger Aspekt und kann – bei Verletzung – zu empfindlichen Strafen führen.

Wenn man an die persönlichen Daten denkt, konzentriert man sich dabei oft auf die “Kundendaten”, die im System gespeichert sind. Aber nicht zu vergessen sind auch die Mitarbeiter im Unternehmen selbst. Auch deren Daten sind entsprechend zu verwalten!

Umfangreiche Dokumentationspflichten, Verfahrensverzeichnisse, Einwilligungserklärungen, Schulung der Mitarbeiter und nicht zuletzt die Benennung des Datenschutzbeauftragten sind wichtige Aufgaben, die auf ein Unternehmen zukommen!