Datenschutz ist mittlerweile auch politisch ein großes Thema. Deshalb ist es nicht verwunderlich, dass die EU mit zunehmenden Reglementierungen reagiert. Doch was bedeutet die neue DSGVO für Unternehmen und ihre Kunden?
Alles neu macht der Mai
Bis dato wurde der Datenschutz in Deutschland vor allem durch das Bundesdatenschutzgesetz (BDSG) geregelt. Mit der neuen Datenschutz-Grundverordnung (DSGVO) der EU ändern sich diese aber. Diese neue Fassung tritt am 25.Mai 2018 in Kraft – und damit für alle Deutschen Unternehmen und ihre Kunden.
Entwarnung an dieser Stelle für alle, die das BDSG mit jetzt beherzigt und die Regelung intern umgesetzt haben. Für euch wird die Umstellung kaum problematisch. Für die anderen könnte es jetzt aber unangenehm werden. Das liegt vor allem an den Sanktionen.
Bis jetzt wurde ein Verstoß mit max. 300.000 Euro bestraft. Für manche Unternehmen ist das tatsächlich bequemer zu finanzieren als die Umstellung in der IT. Jetzt kann eine Strafe aber aber bis zu vier Prozent des globalen Konzernumsatzes kosten ODER bis zu 20 Millionen Euro kosten. Das sind selbst für die Big-Player keine Peanuts mehr.
Weitere Neuerungen in der DSGVO
Aber welche Neuerungen bringt die DSGVO sonst noch mit sich? Hier eine Übersicht über bisherige und abgeänderte Voraussetzungen nach dem neuen Gesetz:
-
-
Nachgewiesene Einwilligung
Betroffene müssen einwilligen, wenn ihre Daten (personenbezogen) vom Unternehmen gespeichert werden. Das muss wiederum den Zweck der Verarbeitung angeben und darf auch später nicht davon abweichen.
-
Datenminimierung
Unternehmen dürfen personenbezogene Daten nur soweit speichern, wie es dem Zweck entspricht. Die Menge der Daten müssen auf für die Verarbeitung Notwendigen beschränkt sein.
-
Speicherbegrenzung
Die Daten, die die Identifikation einer Person ermöglichen, dürfen nur in soweit gespeichert werden, wie es der Verwendungszweck erfordert.
-
Übertragbarkeit
Der Kunde soll verlangen dürfen, dass das Unternehmen alle auf ihn bezogenen Daten an Dritte weitergibt. Diese Änderung bezieht sich auf z.B. Anbieterwechsel.
-
Vetraulichkeit
Die Sicherheit der personenbezogenen Daten muss von Unternehmen gewährleistet sein. Auch während der Verarbeitung. Verlust, Zerstörung oder unbefugter Zugriff darf nicht stattfinden.
-
Korrektur
Wenn personenbezogene Daten sachlich nicht richtig oder aktuell sind, müssen diese sofort korrigiert oder gelöscht werden.
-
Recht auf Löschung
Jeder dessen personenbezogene Daten gespeichert sind, kann von Unternehmen verlangen, dass diese gelöscht werden – auch wenn dieser zuvor der Speicherung zugestimmt hat. Dabei dürfen keine Daten-Spuren im System zurückbleiben, wie z.B. Backups oder Links. Datensatz löschen reicht also meist nicht.
-
Verschärfstes Kopplungverbot
Mit der Einführung der DSGVO dürfen Zusatzleistungen nicht mehr an die Einwilligung von Datenverarbeitung geknüpft sein.
Mehr Verantwortung für Datenschutzbeauftragten
Des weiteren werden durch die Neuerung noch einige Änderungen im prozessualen Bereich angestoßen:
Jedes Unternehmen, das dauerhaft über zehn Personen mit Datenverarbeitung relevanten Aufgaben beschäftigt, muss einen Datenschutzbeauftragten benennen. Dieser ist verantwortliche für die Einhaltung der DSGVO. Dabei haftet er jetzt persönlich! Außerdem soll er dieser die Datenschutstrategien entwickeln, kommunizieren und Mitarbeiter schulen.
Zudem muss der Datenschutzbeauftragte eine Unternehmens die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und dazu Stellung nehmen. Besonders wichtig ist dies, wenn die Daten Personen „beurteilen“, wie z.B. Religion, Herkunft, politische Einstellung, Gesundheitsdaten oder Bonität. Diese „Datenschutz-Folgenabschätzung“ hieß im BDSG noch „Vorabkontrolle“.
Weiter muss das Unternehmen dokumentieren, wie sie die personenbezogenen Daten erheben und verarbeiten. Diese Auskunft muss wiederum dem Betroffenen „leicht zugänglich und in einfacher Sprache“ zur Verfügung stehen, ebenso wie die Information über Risiken, Vorschriften, Rechte und Garantien. Das Gesetz empfiehlt Zertifizierungen, die Verbraucher über den Standard informieren.
Schutz beginnt bei Softwareentwicklung
Dabei sind Unternehmen nicht nur verpflichtet mindestens den vorgeschriebenen Standard einzuführen, sondern auch die Einhaltung zu überwachen. Kontrolle und Dokumentation soll dies gewährleisten. Dazu muss das Unternehmen nachweisen, dass es die technischen und organisatorischen Maßnahmen für den Datenschutz eingeleitet hat. Anders als bisher, legt die Beweislast dazu jetzt beim Unternehmen und nicht mehr bei den Kunden. Jedes IT-System muss daher so ausgelegt sein, dass eine Einhaltung des DSVGO gewährleistet ist. Heißt: Der Datenschutz muss im Prinzip schon bei der Software berücksichtigt werden! So müssen Anbieter Software bereits mit datengeschützten Default-Einstellungen verkaufen, wie z.B. Speicherfristen und Zugriffsteuerung.
Beschwerde – und dann?
Jegliche Beschwerden können bei der Datenschutzbehörde des jeweiligen EU-Staats eingereicht werden. Dabei ist es egal, in welchem Land die Verstöße passiert sind. Das gilt auch für Unternehmen. Alle Datenschutzverletzungen müssen zudem innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet werden. Bei schwerwiegenden Vorfällen (meist bezüglich der Persönlichkeitsrechte) müssen alle Betroffenen informiert werden. Auch immaterielle Schäden, wie z.B. Rufschädigung wurden berücksichtigt.
Weiter kann die Behörde in machen Fällen ein Verbot für die Datenverarbeitung aussprechen. Ein Fall wäre z.B. eine große Sicherheitslücke im Datenschutz-Netzwerk eines Unternehmens.
-
SAP Business One „DSGVO Version“ 9.3 Patch4
DSGVO praxisnah & unterhaltend
DSGVO und ERP: Risiken und Herausforderungen
Berechtigungen in SAP Business One
EVENT: Recruiting & der Kampf um die klügsten Köpfe
6 Gründe, warum Updates ein ERP-System verbessern
Vertrieb & Marketing für Mittelständler
Update 5.6 : Neue Version von MariProject
Die neue Datenschutzgrundverordnung der EU: Teure Verstöße für Unternehmen
ERP aus der Cloud: Rechtsschutz für Cloudnutzer
