Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Viele Unternehmen sind darauf noch nicht ausreichend vorbereitet. Und einige wissen gar nicht, worum es dabei überhaupt geht.
Vielen Unternehmen ist nicht bewusst, dass sie ab Mai die Vorgaben der neuen EU-Datenschutz-Grundverordnung beachten müssen. Etwa ein Drittel, so eine kürzlich veröffentlichte Studie, hat sich mit dem Thema überhaupt noch nicht befasst.
Dies ist umso erstaunlicher, als bei Nichteinhaltung empfindliche Strafen drohen. Jeder Verantwortliche in Unternehmen, vom Geschäftsführer über IT- und Marketingleiter und Personalverantwortliche, sollte daher die wichtigsten Anforderungen kennen.
Die folgenden sechs Punkte skizzieren die wichtigsten Inhalte der neuen Datenschutzgrundverordnung. Dies soll helfen, erste Fragen zu beantworten und eine Zusammenfassung der wichtigsten Anforderungen der DSGVO darzustellen.
Unternehmen müssen im Falle einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO unverzüglich handeln. Unverzüglich bedeutet binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, muss die Meldung bei der zuständigen Aufsichtsbehörde erfolgen. Von einer Meldung kann nur abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.
Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, ist nach Art. 34 DSGVO zusätzlich zur Aufsichtsbehörde die betroffene Person zu informieren.
Um sicherstellen zu können, dass diesen umfangreichen Melde- bzw. Informationspflichten nachgekommen werden kann, muss im Unternehmen ein laufender und erprobter Prozess implementiert sein, in welchem die Verletzung des Schutzes personenbezogener Daten erkannt, der Sachverhalt an den Datenschutzbeauftragten weitergeleitet und anschließend von diesem bewertet wird.
Der Datenschutzbeauftragte prüft dabei, ob ein normales oder ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen vorliegt oder ob ggf. kein Risiko vorliegt. Bei dem Prozess müssen auch die eigenen Auftrags Verarbeiter eingebunden werden.
Idealerweise wird zur Bearbeitung solcher Vorfälle ein Kompetenzteam z. B. aus Datenschutzbeauftragtem, der IT-Sicherheit und der Rechtsabteilung versuchen, den Sachverhalt aufzuklären. um der Geschäftsleitung die Grundlage für die letztendliche Entscheidung zur Meldung vorzubereiten.
Im Bundesdatenschutzgesetz (BDSG) sind bereits Regelungen zur Datenverarbeitung im Auftrag und das Verhältnis zu Dritten und Beteiligte, deren Rechte und Pflichten von der Datenschutz-Grundverordnung definiert werden, genannt.
Die DSGVO behandelt Verpflichtungen und Verhältnis von „Verantwortlichen“ sowie „Auftrags Verarbeitern“, sowie die berechtigten Interessen, aber auch Einschränkungen bezüglich Dritter deutlich umfassender.
Die DSGVO wird weltweit auf personenbezogene Daten europäischer Niederlassungen von Unternehmen (Verantwortliche wie auch Auftrags Verarbeiter) angewendet. Sie gilt zudem auch für Unternehmen außerhalb der EU, wenn diese Daten von Personen aus der EU zu Werbe- oder Marktforschungszwecken verarbeiten. Eine Vermeidung der DSGVO durch Verlagerung ist somit nicht möglich.
Die Einwilligung zur Datenverarbeitung muss klar abgegrenzt, einfach verständlich und einfach widerrufbar sein. Wenn die Einwilligung online erteilt werden kann, darf für den Widerruf keine Schriftform verlangt werden. Auch die Möglichkeit vorgegebene Optionen abzuwählen, sei es online oder etwa per Hinweistext bei Aufzeichnung von Telefonaten ist nicht mehr ausreichend. Die DSGVO fordert eine „eindeutige bestätigende Handlung“, also ein explizites „Opt-In“ der Betroffenen.
Die DSGVO findet Anwendung auf alle Daten, die sich auf eine identifizierbare natürliche Person beziehen. Dazu gehören auch „pseudo-anonyme Daten“ wie z. B. IP-Adressen oder Cookie-Kennungen – somit kann die neue Verordnung auch für Datensätze relevant sein, die keine expliziten Personennamen enthalten.
Die DSGVO bringt für Unternehmen und Behörden umfassende Nachweispflichten mit sich (so genannte Accountability). Die Unternehmen und Behörden müssen nicht nur sicherstellen, dass sie die Vorgaben der DSGVO erfüllen, sondern dies zudem auch gegenüber den Aufsichtsbehörden jederzeit nachweisen können (Art. 5 Abs. 2 DSGVO).
Somit müssen die Unternehmen und Behörden belegen können, dass sie geeignete Maßnahmen und angemessene Datenschutzvorkehrungen installiert haben und umsetzen. Erfüllen Unternehmen diese Anforderungen nicht, drohen Anordnungen der Aufsichtsbehörden, Bußgelder und/oder Schadenersatzansprüche.
So ist quasi eine Beweislastumkehr entstanden. Unternehmen müssen präventiv ihre Maßnahmen zum Datenschutz belegen können – bevor überhaupt etwas passiert ist.
Unternehmen und Behörden müssen die natürlichen Personen transparent und umfassend über die Informationserhebung und ihre damit verbundenen Rechte informieren. Zu diesen Rechten gehören das Recht auf Berichtigung, auf Löschung („Recht auf Vergessen werden“), auf Einschränkung der Verarbeitung vorliegender Daten, auf Datenübertragbarkeit (d.h. Bereitstellung für den Kunden in maschinenlesbarer Form), auf Widerspruch gegen die Verarbeitung, sowie auf Widerspruch gegen automatisierte Entscheidungen und sogenanntes „Profiling“.
Insbesondere die Umsetzung des Rechts auf Löschung stellt die betroffenen Unternehmen vor Herausforderungen: Kundendaten finden sich in zahlreichen Anwendungen, werden aus anderen Anwendungen wieder zurückübertragen, BackUp-Versionen sind zu berücksichtigen und häufig verarbeiten und speichern auch Drittunternehmen diese Daten. Neben Stammdaten können sich personenbezogene Daten z. B. auch in Daten zu Aktivitäten oder Transaktionen wiederfinden. Die Erfahrung zeigt, dass eine vollständige „Kartographie“, welche Systeme personenbezogene Daten halten oder an andere Systeme weiterleiten, oft gar nicht oder nur lückenhaft vorhanden ist.