Jedes Unternehmen, das
- personenbezogene Daten automatisiert verarbeitet und mehr als zehn Personen beschäftigt oder
- besonders sensible personenbezogene Daten verarbeitet, die etwa über Gesundheit, Bonität, Sexualleben, Religion oder politischer Meinung einer Personen Auskunft geben könnten oder
- dessen Kerngeschäft aus der Verarbeitung personenbezogener Daten besteht
muss einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der EU-DSGVO werden die Pflichten dieser Person deutlich ausgeweitet.
Alle Unternehmen, die personenbezogene Daten verarbeiten, werden von der DSGVO erfasst. Das Datenschutzrecht wird deutlich erweitert und umfasst zahlreiche Neuerungen.
Stärkere Nutzerrechte für gespeicherte Daten
Für deutsche Unternehmen galt bereits vor der EU-DSGVO das BDSG, welches Rechte von Nutzern und Kunden definiert hat. Während zahlreiche Neuerung die Nutzer mit neuen Rechten ausstatten, wurden bestehende Rechte erweitert. Unternehmen müssen ihre datenverarbeitenden Prozesse so einrichten, dass die betroffenen Personen ihre Rechte geltend machen können.
- Auskunftsrecht: 34 BDSG hat den Betroffen dazu befähigt, Auskunft darüber zu erlangen, zu welchem Zweck welche Daten wie gespeichert wurden. Mit Art. 15 DSGVO wird das Auskunftsrecht deutlich erweitern. Zusätzlich kann der Betroffene:
- den Verarbeitungszweck,
- die Kategorien der verarbeiteten Daten,
- die Empfänger oder Kategorien von Empfängern der erhobenen Daten,
- die geplante Speicherdauer der Daten,
- die Existenz eines Berichtigungs- oder Löschungsrechts der erhobenen Daten,
- ein Beschwerderecht,
- die Herkunft der Daten
- sowie das Bestehen eines „Profiling“-Systems sowie die Arbeitsweise dieser Logik
erfragen.
- Löschrecht: Schon nach 35 BDSG haben Betroffene das Recht auf Berichtigung oder Löschung ihrer personenbezogenen Daten. Mit Art. 16 DSGVO wurde das Löschrecht ausgedehnt. So kann eine Löschung der Daten beantragt werden, wenn:
- der Zweck der Datenerhebung erreicht wurde und die personenbezogenen Daten nicht mehr gespeichert werden müssen
- der Betroffene seine Einwilligung widerrufen hat und keine andere Rechtsgrundlage für die Verarbeitung gegeben ist (Art. 6 Abs. 1 lit.) b-f DSGVO).
- der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat
- die Daten unrechtsmäßig erhoben wurden (Art. 6 DSGVO)
- der Betroffene zur Erhebung als minderjähriger nach Art. 8 DSGVO eingewilligt hat und nun widerruft.
Allerdings kann dem Löschgesuch widersprochen werden, wenn der Weiternutzung der Daten ein berechtigtes Interesse zugrunde liegt. Dies ist besonders dann der Fall, wenn die Daten zur Geltendmachung eines Rechtsanspruchs benötigt werden.
- Berichtigungsrecht: Nach Art. 16 DSGVO hat der Betroffene das Recht, seine Daten berichtigen zu lassen, falls diese unvollständig oder unkorrekt sind.
- Recht auf Einschränkung: Das Recht auf Einschränkung der Verarbeitung weitet die Sperrung aus 35 Abs. 3 BDSG durch Art. 18 DSGVO auf den gesamten europäischen Raum aus. Der Betroffene hat nun das Recht, die Weiterverarbeitung der Daten einzuschränken, wenn er dies verlangt und zudem.
- die Richtigkeit der Daten von ihm bestritten wird. Die Weiterverarbeitung wird für den Zeitraum der Überprüfung der Richtigkeit eingeschränkt.
- die Verarbeitung unrechtsmäßig ist. Der Betroffene möchte die Daten nicht löschen, aber die Weiterverarbeitung einschränken.
- die Daten nicht mehr zur Verarbeitung benötigt werden, doch gespeichert werden müssen, um Rechtsansprüche geltend zu machen.
- Widerspruch gegen die Verarbeitung eingelegt wurde (Art. 21 Abs. 1 DSGVO). Die Verarbeitung wird für den Zeitraum der Überprüfung der berechtigten Gründe eingestellt.
- Recht auf Datenübertragbarkeit: Gänzlich neu ist das Recht der Datenübertragbarkeit der erhobenen Daten nach Art. 20 DSGVO. So können Betroffene von datenerhebenden Unternehmen verlangen, die Daten auf Aufforderung an Dritte zu übertragen. Dafür darf keine erneute Eingabe der Daten erforderlich sein. Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format ausgegeben werden (Art. 20 Abs. 1 DSGVO). Die verantwortlichen Unternehmen dürfen diesen Umstand nicht unterbinden. Auch die direkte Übermittlung an die gewünschte dritte Partei ist vorgesehen (Art. 20 Abs. 2 DSGVO). Das Recht auf Datenübertragbarkeit ist jedoch auf folgende Fälle begrenzt, um schützenswerte Interessen des herausgabepflichten verantwortlichen Unternehmens zu schützen:
- Für die ursprüngliche Verarbeitung war eine Einwilligung erforderlich oder die Daten konnten ohne Einwilligung erhoben werden, da sie zur Entstehung eines Vertragsverhältnisses erhoben werden müssen.
- Die Datenverarbeitung ist mithilfe automatisierter Verfahren erfolgt.
- Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen: Bei berechtigten Interessen gibt es die Möglichkeit für Unternehmen, personenbezogene Daten ohne Einwilligung des Betroffenen zu erheben. Der Betroffene hat jedoch die Möglichkeit hiergegen Einspruch zu erheben (Art. 21 DSGVO). Dem Einspruch kann nur stattgegeben werden, wenn persönliche Versagungsgründe vorliegen, die dem berechtigten Interesse vorgehen. Insbesondere Onlineshops und Webseiten, die automatisiert Daten erheben, werden hierdurch gezwungen, Widerspruchssysteme einzurichten (Stichwort: Opt-in /Opt-out).
- Recht auf Unbetroffenheit von rechtsverbindlichen Entscheidungen bei automatisierten Datenprozessen:
Umfangreichere Pflichten für datenverarbeitende Organisationen
Neben dem Eingehen auf die neuen Rechte der betroffenen Personen, müssen Unternehmen und Organisationen kürzere Bearbeitungs- und Reaktionsfristen realisieren. So hat der Verantwortliche innerhalb eines Monats nach Eingang des Antrags des Betroffenen zu reagieren oder Stellung zu nehmen (Art. 12 Abs. 3 DSGVO).
Datenverarbeitung erst ab 16 Jahren
Bis zum Inkrafttreten der EU-DSGVO konnten in den meisten Ländern Kinder und Jugendliche ab 13 Jahren der Verarbeitung ihrer personenbezogenen Daten einwilligen. Die DSGVO sieht allerdings ein Mindestalter von 16 Jahren vor. Somit könnte jüngeren Internetnutzern der Zugang zu Plattformen erschwert werden, die eben solche Daten erheben. Dazu gehören Social Media-Riesen wie Facebook oder Instagram.
Unternehmen außerhalb der EU ebenfalls erfasst
Die DSGVO zielt auch auf eine Durchsetzung des Datenschutzes gegenüber internationalen oder US-Firmen ab. Es genügt, Daten von Personen aus dem EU-Raum zu erheben, um von den Anforderungen der DSGVO erfasst zu werden. Der Wirkungsraum der DSGVO reicht somit weit über de Grenzen der EU hinaus.
Höhe Sanktionen vorgesehen
Bei Verstößen gegen die DSGVO sieht das Gesetz deutlich höhere Sanktionen vor, als Unternehmen es zuvor gewohnt waren. Es können Geldstrafen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Bei Großkonzernen kann sich die Strafe somit im Milliardenbereich bewegen.
So setzen Sie die DSGVO um
Jedes Unternehmen, das personenbezogene Daten erhebt, muss sich den Anforderungen der DSGVO stellen und diese umsetzen, um hohe Bußgelder zu vermeiden.
Um DSGVO-compliant zu werden, müssen folgende Maßnahmen ergriffen werden.
- Datenschutzbeauftragten bestellen, wenn notwendig
Unterliegen Unternehmen den Voraussetzungen, muss ein Datenschutzbeauftragter bestellt werden. Dies ist nach der EU-DSGVGO der Fall, wenn:
- das Unternehmen mehr als zehn Mitarbeiter beschäftigt und personenbezogene Daten automatisiert erhebt (etwa durch den Einsatz von Computern).
- das Unternehmen besonders sensible Informationen verarbeitet, die etwa die Bonität und Gesundheit betreffen.
- die automatisierte Datenverarbeitung ein maßgeblicher Bestandteil des Geschäftsmodells ist.
Fällt Ihr Unternehmen in keine der drei genannten Kategorien fällt, muss es dennoch den Anforderungen der DSGVGO gerecht werden, indem diese ohne einen Datenschutzbeauftragten umgesetzt werden. Andernfalls ist die Frage nach der Bestellung eines internen oder externen Datenschutzbeauftragten zu beantworten.
- Verzeichnis der Verarbeitungstätigkeiten erstellen
Unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten, muss jedes Unternehmen ein „Verzeichnis der Verarbeitungstätigkeiten“ erstellt werden (Art. 30 DSGVO). Letztendlich handelt es sich dabei um eine Tabelle, die alle Daten listet, die vom Unternehmen erhoben werden. Insbesondere wird aufgeführt:
- welche Daten,
- warum,
- wann und
- wie
erhoben wurden.
Im Detail könnten folgende Aspekte erfasst werden:
- Verantwortlicher
- Zweck
- Betroffener
- Wer hat Zugriff auf die Daten?
- Datenkategorie
- Übermittlung an Drittstatten?
- Löschfrist
- Rechtsgrundlage
- Einwilligung des Betroffenen
Außerdem ist festzuhalten, welchen Weg die Daten gehen. Werden Sie etwa auf einer Webseite erhoben und letztendlich in einem Buchungssystem gespeichert, so sind die einzelnen Schritte festzuhalten.
Ein Verfahrensverzeichnis ist schon nach dem BDSG vorgesehen, wurde von den meisten Unternehmen jedoch ignoriert.
- Prozesse kreieren und Prozesshandbuch anfertigen
Alle Prozesse, bei denen personenbezogene Daten erhoben werden, müssen dokumentiert werden. Sind die Prozesse nicht konform mit der DSGVO, so sind sie anzupassen. Die Dokumentation hat im Prozesshandbuch zu erfolgen. Folgende Aspekte könnten in einem Prozesshandbuch behandelt werden:
- Was passiert mit den Daten, sobald das Ziel der Datenerhebung erreicht ist?
- Wie werden Kunden über die Datenerhebung informiert?
- Welche Schulungsmaßnahmen werden für die Mitarbeiter vorgenommen?
- Was passiert, wenn es zu einem Datenleck kommt, etwa durch einen Hackerangriff?
- Datenschutzfolgeabschätzung vornehmen, wenn notwendig
Unternehmen, die besonders sensible Daten verarbeiten, wie etwa Arztpraxen, Versicherungsmakler oder Auskunfteien, bedürfen einer Datenschutzfolgeabschätzung. Sensibilität ist dann gegeben, wenn anhand der Daten eine Kategorisierung und Identifizierung der Personen nach sensiblen Themen, wie dem Gesundheitszustand, den Finanzen, der Sexualität, der politischen Einstellung und der ethnischen Herkunft möglich ist. Hier besteht ein besonders hohes Risiko bei der Datenverarbeitung, denn beim missbräuchlichen Umgang mit diesen Daten könnte für den Betroffenen ein erheblicher Schaden entstehen. Langfristig sollen die regionalen Datenschutzbehörden eine Liste zur Einordnung der Daten hinsichtlich einer Datenschutzfolgeabschätzung herausgeben, was momentan noch nicht passiert ist. Somit bedarf es einer Einzelfallbetrachtung.
- Alle ergriffenen Maßnahmen dokumentieren
Alle Unternehmen sollten jegliche Maßnahmen, die aufgrund des Datenschutzes ergriffen werden, ausreichend dokumentieren. Mit einer vollständigen Dokumentation lässt sich belegen, dass erforderliche Maßnahmen ergriffen wurden. Sollte ein Datenleck oder ein Verstoß vorliegen, kann die Dokumentation dafür Sorge tragen, dass kein Bußgeld verhängt wird.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!