Go to Top

EU-DSGVO ist endlich Gesetz – acht Dinge, die Sie jetzt vorbereiten sollten

EU-DSGVO ist endlich Gesetz

Mit der Genehmigung der europäischen Datenschutzgrundverordnung (EU-DSGVO) durch das Europäische Parlament am 14. April ist die Regelung jetzt gültig und geltendes Recht für jedes Unternehmen, das Geschäfte in (fast allen) Mitgliedstaaten der Europäischen Union macht. Großbritannien und Dänemark haben mehrere Ausnahmen in den Bereichen Justiz und Inneres ausgehandelt – die Regelungen werden daher in diesen beiden Ländern begrenzt sein. Für jedes andere Mitgliedland ist die Regelung jetzt gültig und tritt in Kraft am 25. Mai 2018 – etwas mehr als zwei Jahre nachdem sie im Amtsblatt veröffentlich wurde.

Da die EU-Datenschutzgrundverordnung keine Richtlinie mehr sondern eine Verordnung – und damit bindendes Recht in den teilnehmenden Mitgliedstaaten – gibt es keine Notwendigkeit mehr zur Anpassung in das lokale nationale Recht. Einige Länder werden dies aber höchstwahrscheinlich trotzdem tun und ihre bestehenden Datenschutzgesetze, sowie andere Gesetze in Bezug auf personenbezogene Daten, überarbeiten. Jedes Unternehmen sollte nun die verbleibende Zeit nutzen, um zu überprüfen, ob ihre aktuelle Datenverarbeitung und die Datenschutzrichtlinien und Regeln dem neuen Gesetz entsprechen.

Welche Neuerungen gibt es?

Ein einziges Gesetz, das in ganz Europa gilt (und für global agierende Unternehmen, die mit europäischen Unternehmen zusammenarbeiten).

Wie wir auf die Verbesserungen oder Nachteile in früheren Artikeln über diese neue Regelung/ dieses Gesetz hingewiesen haben, sind diese in hohem Maße abhängig von dem Land, in dem sich Ihr Unternehmen befindet. Fast jeder europäische oder andere westliche Staat hat bereits Datenschutzgesetze in seiner örtlichen Zuständigkeit. Der wichtigste Faktor, warum sowohl der Europäische Rat sowie das Europäische Parlament seit fast vier Jahren – seit 2012 – gearbeitet haben, ist, dass sie die nationalen Rechtsvorschriften der Mitgliedsstaaten zu einem gemeinsamen multinationalen Gesetz auf einer gemeinsamen Basis angleichen wollten. Das haben sie jetzt mit dieser Rechtsverordnung auch erreicht.

Strengere Vorschriften und höhere Bußgelder

Unabhängig wie hoch die (Geld-)strafen in der alten nationalen Gesetzgebung waren, die in der EU-DSGVO verankerten Strafen sind wirklich immens. So hoch, dass, wenn sie einer kleinen bis mittelgroßen Firma auferlegt werden, existenzbedrohend sein können: Höchststrafen können um die 20 Millionen Euro und 4% des weltweiten Umsatzes des Unternehmens betragen. Aus diesem Grund allein macht es jetzt richtig Sinn, sich dem neuen Regelwerk zu unterwerfen.

Neue Datenschutz-Aspekte für Unternehmen in der EU-DSGVO (unter anderem),die umgesetzt wurden:

Data Governance und Rechenschaftspflicht

Dies ist der wichtigste Teil der Verordnung, dessen Artikel auf die Aufsichtspersonen (sowohl intern als auch auf Bundesaufsichtspersonal) zahlreiche Verpflichtungen zukommen lässt. Einige dieser Verpflichtungen bestehen bereits im deutschen und französischen Rechtssystem, aber eben nicht in allen Mitgliedsstaaten. Deshalb müssen sie eingeführt werden. Aber eine Verordnung ist für alle neu: 

  • Privacy by design (Art.25)

„Privacy by design“ ist wahrscheinlich eine der wichtigsten Verpflichtungen, denen sich Unternehmen bei dieser neuen Regelung stellen müssen. Unternehmen sollten interne Richtlinien erlassen und technische und organisatorische Maßnahmen umsetzen, sodass nur personenbezogene Daten verarbeitet werden, die zu einem spezifischen Zweck benötigt werden. Zusätzlich müssen die Maßnahmen die die Menge der vom verantwortlichen Aufsichtsmitarbeiter/dem Unternehmen gesammelten Daten abdecken, sowie den den Umfang ihrer Verarbeitung, die Dauer der Aufbewahrung und deren Zugänglichkeit. Außerdem dürfen Daten nicht Personen zugänglich gemacht werden, die an einem Projekt oder Prozess beteiligt sind.

Schutzverletzung von persönlichen Daten

Die EU-DSGVO führt neue Fristen ein, ab wann die nationalen Aufsichtsbehörden über eine Datenschutzverletzung informiert werden müssen. Nun muss die Aussichtsbehörde innerhalb von 72 Stunden informiert werden.

Persönlichkeitsrechte

In Artikel 12, 15 bis 23 werden die Rechte der so genannten „betroffenen Personen“ (Data subjects) festgelegt. Nun hat die Person, die ein Unternehmen davon abhalten will seine persönlichen Daten zu nutzen, mehr Rechte. Sie kann unter bestimmten Bedingungen Firmen verpflichten ihre persönlichen Daten zu löschen und, wenn die Daten bereits veröffentlich wurden, alle Verweise, Kopien oder Replikationen der Daten zu vernichten. („Recht vergessen zu werden“). Diese Aktion muss von dem verantwortlichen Mitarbeiter/Unternehmen innerhalb von einem Monat nach Eingang der Anforderung oder wenn es sich um eine komplexe Angelegenheit handelt, innerhalb von drei Monaten durchgeführt werden.

Acht Dinge, die Sie jetzt vorbereiten sollten

Diese unvollständige Liste zeigt deutlich, dass eine Menge Arbeit auf die Unternehmen zukommt, um den neuen Regelungen zu entsprechen. Daher sollten Sie diese acht wichtigsten Tipps befolgen:

  1. Bereiten Sie sich auf Verletzungen der Persönlichkeitsrechte vor

Setzen Sie klare Richtlinien und Methoden ein, um sicherzustellen, dass Sie schnell auf Datenschutzverletzungen reagieren – und soweit erforderlich – darüber informieren können.

  1. Schaffung eines Rahmens für die Rechenschaftspflicht

Stellen Sie sicher, dass Sie eine klare Richtlinie eingesetzt haben, um zu beweisen, dass Sie die notwendigen neuen Standards erfüllen. Etablieren Sie darüber hinaus eine Kultur der Überwachung, Kontrolle und Beurteilung der Verarbeitungsverfahren, um die Datenspeicherung und Datenverarbeitung sowie die Schutzmaßnahmen zu minimieren.

  1. Etablieren Sie „Privacy by design“

Stellen Sie sicher, dass dem Datenschutz in jeder Datenverarbeitung oder innerhalb der Software-Lösungen Folge geleistet wird. Dies muss frühzeitig im Prozess berücksichtigt werden, um eine strukturierte Überprüfung und systematische Validierung zu erhalten.

  1. Analysieren Sie die Rechtsgrundlagen auf der Sie persönliche Daten verwenden

Überlegen Sie, welche Datenverarbeitung Sie durchführen und überprüfen Sie auf welcher Rechtsgrundlage Sie persönliche Daten verwenden. Möglicherweise benötigen Sie keine Genehmigung der Individuen um seine Daten zu verwenden, wenn Sie ein berechtigtes Interesse an der Datenverarbeitung haben. Aber das müssen Sie zuerst prüfen.  Wenn Sie eine Genehmigung hbenötigen, überprüfen Sie ob die Zustimmungs-Dokumente und -Formulare geeignet sind und prüfen Sie, ob die Einwilligung freiwillig geschieht und Ihre Informationen über den Prozess präzise und klar verständlich sind. Im Zweifelsfall werden Sie die Beweislast haben.

  1. Überprüfen Sie die Datenschutzbestimmungen und Richtlinien

Die EU-DSGVO setzt voraus, dass die Informationen in einer klaren und einfachen Sprache angeboten werden. Ihre Richtlinien sollten transparent und leicht zugänglich sein.

  1. Denken Sie an die Rechte der „Datensubjekte“

Seien Sie darauf vorbereitet, dass Personen Ihre Rechte nach der neuen Datenschutzgrundverordnung einfordern werden (z.B. das Recht auf Vergessen, Datenlöschung und Datenportabilität). Wenn Sie persönliche Daten speichern, folgen Sie den rechtlichen Gründen für die Speicherung persönlicher Daten. Auch hier haben Sie die Beweislast zu tragen, ob Ihre Gründe schwerwiegender sind, als die der Person, dessen Daten Sie nutzen wollen.

  1. Wenn Sie ein Datenanbieter sind, prüfen Sie, ob Ihnen neue Verpflichtungen entstehen

Die EU-DSGVO umfasst einige Verpflichtungen für Datenanbieter, die verstanden und in ihren Richtlinien, Verfahren und Verträgen umgesetzt werden müssen. Überprüfen Sie, ob Ihre Vertragsunterlagen dahingehend ausreichend sind und im Rahmen der bestehenden Verträge, wer die zusätzlichen Kosten für die Dienstleistungen, die von den neuen Regeln verursacht werden, tragen wird. Wenn Sie Datenverarbeitungsdienstleistungen von einem Dritten erhalten, ist es wichtig ihre jeweiligen Aufgaben festzulegen und zu dokumentieren.

  1. Grenzüberschreitende Datenübertragungen

Wie bei allen internationalen Datentransfers – einschließlich gruppeninterne Transfers – ist es wichtig festzustellen, ob man das Recht hat, persönliche Daten in ein Land weiterzuleiten, das keine angemessenen Datenschutzbestimmungen hat. Dies ist an sich kein neues Problem, aber da eine Nichteinhaltung eine Geldstrafe von bis zu 4% des weltweiten Umsatzes nach sich ziehen kann, sind die Folgen jetzt deutlich schmerzhafter und könnten in den Konkurs führen.

Man sieht also deutlich, dass einige Teile des neuen EU-Gesetzes Unternehmen nicht nur auferlegen, Daten sicher zu speichern, sondern auch sicher zu löschen und zwar in engen Zeitrahmen, entweder auf Drängen der betroffenen Person oder durch das Gesetz. Aus diesem Grund ist es ratsam, eine spezielle Datenlöschlösung zu verwenden, die sowohl die Dateien sicher löschen als auch den Datenlöschprozess mit einem Zertifikat belegen kann. Weitere Informationen über die sichere Datenlöschung finden Sie unter http://www.krollontrack.de/informationsmanagement/daten-sicher-loeschen/

Weitere Informationen zu EU-DSGVO erhalten Sie auch in unseren anderen Artikeln zu dem Thema oder auf der offiziellen Webseite des EU-Parlaments….

Bildnachweis: Martin Moritz  / pixelio.de