Die neue Datenschutzgrundverordnung der EU: Teure Verstöße für Unternehmen
30 Nov

Die neue Datenschutzgrundverordnung der EU: Teure Verstöße für Unternehmen

Datenschutz ist mittlerweile auch politisch ein großes Thema. Deshalb ist es nicht verwunderlich, dass die EU mit zunehmenden Reglementierungen reagiert. Doch was bedeutet die neue DSGVO für Unternehmen und ihre Kunden?

Alles neu macht der Mai

Bis dato wurde der Datenschutz in Deutschland vor allem durch das Bundesdatenschutzgesetz (BDSG) geregelt. Mit der neuen Datenschutz-Grundverordnung (DSGVO) der EU ändern sich diese aber. Diese neue Fassung tritt am 25.Mai 2018 in Kraft – und damit für alle Deutschen Unternehmen und ihre Kunden.

Entwarnung an dieser Stelle für alle, die das BDSG mit jetzt beherzigt und die Regelung intern umgesetzt haben. Für euch wird die Umstellung kaum problematisch. Für die anderen könnte es jetzt aber unangenehm werden. Das liegt vor allem an den Sanktionen.

Bis jetzt wurde ein Verstoß mit max. 300.000 Euro bestraft. Für manche Unternehmen ist das tatsächlich bequemer zu finanzieren als die Umstellung in der IT. Jetzt kann eine Strafe aber aber bis zu vier Prozent des globalen Konzernumsatzes kosten ODER bis zu 20 Millionen Euro kosten. Das sind selbst für die Big-Player keine Peanuts mehr.

Weitere Neuerungen in der DSGVO

Aber welche Neuerungen bringt die DSGVO sonst noch mit sich? Hier eine Übersicht über bisherige und abgeänderte Voraussetzungen nach dem neuen Gesetz:

    • Nachgewiesene Einwilligung

      Betroffene müssen einwilligen, wenn ihre Daten (personenbezogen) vom Unternehmen gespeichert werden. Das muss wiederum den Zweck der Verarbeitung angeben und darf auch später nicht davon abweichen.

    • Datenminimierung

      Unternehmen dürfen personenbezogene Daten nur soweit speichern, wie es dem Zweck entspricht. Die Menge der Daten müssen auf für die Verarbeitung Notwendigen beschränkt sein.

    • Speicherbegrenzung

      Die Daten, die die Identifikation einer Person ermöglichen, dürfen nur in soweit gespeichert werden, wie es der Verwendungszweck erfordert.

    • Übertragbarkeit

      Der Kunde soll verlangen dürfen, dass das Unternehmen alle auf ihn bezogenen Daten an Dritte weitergibt. Diese Änderung bezieht sich auf z.B. Anbieterwechsel.

    • Vetraulichkeit

      Die Sicherheit der personenbezogenen Daten muss von Unternehmen gewährleistet sein. Auch während der Verarbeitung. Verlust, Zerstörung oder unbefugter Zugriff darf nicht stattfinden.

    • Korrektur

      Wenn personenbezogene Daten sachlich nicht richtig oder aktuell sind, müssen diese sofort korrigiert oder gelöscht werden.

    • Recht auf Löschung

      Jeder dessen personenbezogene Daten gespeichert sind, kann von Unternehmen verlangen, dass diese gelöscht werden – auch wenn dieser zuvor der Speicherung zugestimmt hat. Dabei dürfen keine Daten-Spuren im System zurückbleiben, wie z.B. Backups oder Links. Datensatz löschen reicht also meist nicht.

    • Verschärfstes Kopplungverbot

      Mit der Einführung der DSGVO dürfen Zusatzleistungen nicht mehr an die Einwilligung von Datenverarbeitung geknüpft sein.

     

    Mehr Verantwortung für Datenschutzbeauftragten

    Des weiteren werden durch die Neuerung noch einige Änderungen im prozessualen  Bereich angestoßen:

    Jedes Unternehmen, das dauerhaft über zehn Personen mit Datenverarbeitung relevanten Aufgaben beschäftigt,  muss einen Datenschutzbeauftragten benennen. Dieser ist verantwortliche für die Einhaltung der DSGVO. Dabei haftet er jetzt persönlich! Außerdem soll er dieser die Datenschutstrategien entwickeln, kommunizieren und Mitarbeiter schulen.

    Zudem muss der Datenschutzbeauftragte eine Unternehmens die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und dazu Stellung nehmen. Besonders wichtig ist dies, wenn die Daten Personen “beurteilen”, wie z.B. Religion, Herkunft, politische Einstellung, Gesundheitsdaten oder Bonität. Diese “Datenschutz-Folgenabschätzung” hieß im BDSG noch “Vorabkontrolle”.

    Weiter muss das Unternehmen dokumentieren, wie sie die personenbezogenen Daten erheben und verarbeiten. Diese Auskunft muss wiederum dem Betroffenen “leicht zugänglich und in einfacher Sprache” zur Verfügung stehen, ebenso wie die Information über Risiken, Vorschriften, Rechte und Garantien. Das Gesetz empfiehlt Zertifizierungen, die Verbraucher über den Standard informieren.

    Schutz beginnt bei Softwareentwicklung

    Dabei sind Unternehmen nicht nur verpflichtet mindestens den vorgeschriebenen Standard einzuführen, sondern auch die Einhaltung zu überwachen. Kontrolle und Dokumentation soll dies gewährleisten. Dazu muss das Unternehmen nachweisen, dass es die technischen und organisatorischen Maßnahmen für den Datenschutz eingeleitet hat. Anders als bisher, legt die Beweislast dazu jetzt beim Unternehmen und nicht mehr bei den Kunden. Jedes IT-System muss daher so ausgelegt sein, dass eine Einhaltung des DSVGO gewährleistet ist. Heißt: Der Datenschutz muss im Prinzip schon bei der Software berücksichtigt werden! So müssen Anbieter Software bereits mit datengeschützten Default-Einstellungen verkaufen, wie z.B. Speicherfristen und Zugriffsteuerung. 

    Beschwerde – und dann?

    Jegliche Beschwerden können bei der Datenschutzbehörde des jeweiligen EU-Staats eingereicht werden. Dabei ist es egal, in welchem Land die Verstöße passiert sind. Das gilt auch für Unternehmen. Alle Datenschutzverletzungen müssen zudem innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet werden. Bei schwerwiegenden Vorfällen (meist bezüglich der Persönlichkeitsrechte) müssen alle Betroffenen informiert werden. Auch immaterielle Schäden, wie z.B. Rufschädigung wurden berücksichtigt.

     

    Weiter kann die Behörde in machen Fällen ein Verbot für die Datenverarbeitung aussprechen. Ein Fall wäre z.B. eine große Sicherheitslücke im Datenschutz-Netzwerk eines Unternehmens.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *
Folgende HTML Tags sind nutzbar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>