Die Europäische Datenschutzgrundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Nach einer zweijährigen Übergangsphase wird sie damit am 25. Mai 2018 wirksam. Laut Angaben des Bundesministeriums für Wirtschaft und Energie ersetzt sie „die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und soll zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft geben“. Die Verordnung schafft somit ein „europaweit einheitliches Datenschutzniveau“. Dabei ersetzt die EU-DsGVO nicht das deutsche Bundesdatenschutzgesetz (BDsG), sondern setzt vielmehr darauf auf. Bei der Schaffung der Europäischen Verordnung war das BDsG die wesentliche Grundlage, welche in einigen Punkten verschärft wurde. Diese Anforderungen gilt es nun zu erfüllen.
Was genau regelt die EU-DsGVO?
Nach Artikel 1 der DsGVO stellt diese:
1. die Verordnung von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
2. die Verordnung zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz der personenbezogenen Daten.
3. den freien Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Auf welche Prozesse in meinem Unternehmen wirkt sich die Verordnung aus?
Die Einführung der EU-DsGVO hat Auswirkungen für Unternehmen, die mit personenbezogenen Daten arbeiten. Dabei gelten für alle Unternehmen dieselben Vorschriften und Rechte. So müssen beispielsweise Maßnahmen eingeführt werden, um personenbezogene Daten natürlicher Personen bei der Verarbeitung zu schützen und ihre Grundrechte und Grundfreiheiten bewahrt werden. Durch die neue Verordnung hat der Kunde das Recht auf Auskunft über die Daten, die im Unternehmen über ihn hinterlegt sind. Auf eingehende Anfragen müssen Unternehmen in Zukunft unverzüglich, in jedem Fall aber innerhalb eines Monats antworten.
Das Das bedeutet, dass Daten schon in allen Systemen und Prozessen, zum Beispiel in einem DWH, Datenschutzkonform aufbereitet werden müssen. Personenbezogene Daten können beispielsweise bei:
der Speicherung und Verarbeitung von Mitarbeiterdaten
Kunden- und Lieferantendaten
Der Nutzung von Dienstleistungen
Bei Gästen und Besuchern oder
Kontakt- und Adressdaten
anfallen. Auf die meisten Unternehmen treffen fast alle diese Punkte zu.
Die EU-DsGVO ist auch für Unternehmen verpflichtend, die ihren Unternehmenssitz nicht in der EU haben, aber dort Dienstleistungen anbieten. Auch wenn die angebotene Dienstleistung unentgeltlich erfolgt, muss die Verordnung eingehalten werden. Ansonsten drohen den Unternehmen ab dem 25.05.2018 Strafen zwischen 10 und 20 Millionen Euro oder bis zu 4 Prozent des Unternehmensumsatzes weltweit. Ausführlichere Angaben zu den Bußgeldern und Bußgeldkriterien liefert die Seite www.datenschutzbeauftragter-info.de.
Welche Vorschriften ändern sich durch die EU-DsGVO für Ihr Unternehmen?
Die neue Datenschutzgrundverordnung enthält Vorschriften für Unternehmen, die sie gegenüber ihren Kunden erfüllen müssen. So haben Kunden zum Beispiel:
das Recht auf Auskünfte zu ihren personenbezogenen Daten.
das Recht auf Löschung einzelner Daten beziehungsweise dessen Richtigstellung.
das Recht auf Datenübertragung, wenn sie den Anbieter wechseln.
das Recht auf die Löschung der gesamten personenbezogenen Datenerhebung.
Sollten die Rechte der Betroffenen nicht erfüllt werden, drohen die besagten Bußgelder.
Zusätzlich müssen Unternehmen von nun an penibel ihre Datenverarbeitung dokumentieren. Dazu muss ein sogenanntes Verarbeitungsverzeichnis geführt werden, in dem der Zweck der Datenverarbeitung festgehalten wird. Dort wird auch die Verarbeitung beschrieben, sowie die Herkunft der Daten (Erhebung) und, falls dies zutrifft, in welchem Rahmen die Weitergabe der Daten erfolgt. Der einzelne Betroffene hat nun einen Anspruch auf Widerruf, wodurch gegebenenfalls einzelne Daten wegfallen. Außerdem muss transparent sein, wer darf auf welche Daten zugreifen darf und auf rechtlichen Grundlage erfolgt der Zugriff?
Wie können Sie die neuen Verordnungen im Unternehmen umsetzen?
Noch steckt die DsGVO zu diesem Zeitpunkt in vielen Unternehmen in den Kinderschuhen. Doch der Termin steht und nach dem Stichtag gibt es keinen Spielraum mehr, denn die Übergangsfrist ist damit bereits abgelaufen. Die ersten Schritte, um auf der sicheren Seite zu sein, sollten mindestens folgendes beinhalten:
1. Einführung eines unternehmensweiten Projekts zur Identifikation von der Verarbeitung personenbezogener Daten.
2. Dokumentation der Verarbeitungen und Zuordnung zu legalen Verarbeitungszwecken.
3. Bestehende und neue Verarbeitungen sollten juristisch beurteilt und freigegeben werden.
4. Einführung oder Überarbeitung des Berechtigungskonzeptes (Wer darf was sehen?).
5. Erweiterung des Point Off Contacts (POCs) um Kundenansprüchen gerecht zu werden.
6. Überarbeitung bestehender Systeme und Prozesse hinsichtlich technischer Maßnahmen aufgrund von Privacy bei Design.
Im Idealfall bilden Sie ein unternehmensweites Core-Team, dass sich auf die Transformation spezialisiert. Dazu sollten ein IT-/ technischer Experte (zum Verständnis der datenverarbeitenden Systeme und ihren Schnittstellen), ein BWLer (um Daten und Prozesse in einen wirtschaftlichen Kontext zu setzen) und ein Jurist für die rechtlichen Anforderungen gehören.
Wo erhalten Sie weiterführende Informationen zur EU-DsGVO?
Die vollständige Verordnung finden Sie auf den Seiten der Europäischen Union oder auch auf der Seite www.datenschutz-grundverordnung.eu, die auch deren Erwägungsgründe mit angibt.
Das Bayerische Landesamt für Datenschutz ermöglicht Ihnen eine bessere Selbsteinschätzung und stellt einen kostenlosen Online-Test zur Verfügung, bei dem Sie prüfen können, „wie gut Ihr Unternehmen bei wesentlichen Datenschutzanforderungen aufgestellt ist“.
Der Digitalverband Bitkom bietet zum Thema ein ausführliches FAQ für Unternehmen.
Was sich durch die DsGVO speziell für Firmen Webseiten ändert, erklärt ein Artikel im Online-Magazin der Faszination Elektronik.
Fazit
Jedes Unternehmen, das mit personenbezogenen Daten arbeitet, egal in welcher Form, muss sich den neuen Richtlinien bis spätestens am 25.05.2018 angepasst haben. Dazu gehören alle Unternehmensanforderungen, wie zum Beispiel die Einführung eines Verarbeitungsverzeichnisses, das Behörden jederzeit die Prüfung der Datenverarbeitung ermöglicht. Setzen Sie sich am besten noch heute mit dem Thema zusammen, bevor der Termin Sie einholt.