Strikterer Datenschutz – höhere Bußgelder
Ist Ihr Betrieb schon ausreichend auf die neue EU-Datenschutz-Grundverordnung eingestellt?
Ab 25.Mai 2018 gilt sie, die europäische Datenschutz-Grundverordnung. In ihr geht es vor allem darum personenbezogene Daten, also Daten die auf eine natürliche Person schließen lassen, besser vor dem Zugriff Dritter zu schützen. Dies gilt im Übrigen auch für den B2B-Bereich! Betroffen ist jeder Betrieb und jedes Unternehmen in denen die Aufnahme und Verarbeitung von eben solchen Daten zum Kerngeschäft gehören. Das heißt im Grunde jeder Betrieb und jedes Unternehmen.
Doch was heißt das jetzt konkret? Worauf muss jetzt geachtet werden und in welchen Bereichen werden Veränderungen erforderlich sein?
Kurz um kann man sagen, dass der gesamte Umgang mit personenbezogenen Daten im Unternehmen noch einmal genau unter die Lupe genommen werden muss. Von der Datenerhebung, über die Datenverarbeitung bis hin zur Datenspeicherung. Bei all diesen Schritten gilt es mittels technischer und organisatorischer Maßnahmen ein Höchstmaß an Sicherheit und Transparenz für die betroffenen Personen gewährleisten zu können, und dies auch hinreichend zu dokumentieren.
Zudem gibt es veränderte Auflagen zu der Bereitstellung eines Datenschutzbeauftragten, die Rechte der betroffenen Personen wurden deutlich gestärkt und die Regelung der Haftung bei Verstößen hat sich deutlich verschärft.
Hier die wichtigsten Punkte im Überblick:
Datenerhebung:
- Zweckgebundenheit der erhobenen Daten muss gegeben sein: das heißt, ausschließlich Daten die zur Bearbeitung des Auftrages etc. zwingend erforderlich sind, dürfen erhoben werden. Diese Zweckgebundenheit und die damit folgende Legitimität der Datenerhebung muss für die Person, von der die Daten erhoben werden, bei der Erhebung offen dargestellt werden
- Es muss eine Einwilligungserklärung vorliegen. Bei dieser gibt es einiges zu beachten: sie muss freiwillig und bewusst erfolgen, es sollte klar dargelegt werden welche Art von Daten zu welchen Zwecken erhoben werden, wer für die Verarbeitung dieser zuständig ist und an wen diese ggf. weitergeleitet werden. Es sollte ebenfalls darauf hingewiesen werden, mit welchen Mitteln die Daten vor Missbrauch und dem Zugriff Dritter geschützt werden. Personen ab 16.Jahren müssen diese Einwilligungserklärung persönlich abgeben.
- Entsprechen bereits in der Vergangenheit erteilte Einwilligungserklärungen diesen Vorgaben, können sie auch weiterhin verwendet werden.
Datenverarbeitung
- Es müssen organisatorische Maßnahmen ergriffen werden, damit nur diejenigen Mitarbeiter Zugriff zu Daten bekommen, die diese auch tatsächlich und unmittelbar für ihre Arbeit benötigen.
- Werden Daten, wie in der Einwilligungserklärung beschrieben und ebenfalls zweckgebunden an Dritte weitergegeben, so muss sichergestellt werden, dass es sich dabei um aktuelle und richtige Daten handelt. Ebenfalls muss technisch gewährleistet werden, dass diese Daten bei der Übermittlung auf dem höchstmöglichen Stand gesichert sind. (Mittel dazu sind z.B. Verschlüsselung, Pseudonymisierung etc.)
- Datenübermittlung in nicht EU-Mitgliedsstaaten nur dann zulässig, wenn die dort geltenden Gesetze (Bestimmung durch EU-Kommission, Art.44) oder im Einzelnen getroffene absichernde Maßnahmen einen angemessenen Datenschutz gewährleisten.
Datenspeicherung:
- Personenbezogene Daten sind unmittelbar nach Beendigung des ursprünglichen Zweckes zu löschen. Es sei denn diese werden gebraucht, um weitere geltende rechtliche Verpflichtungen zu erfüllen oder eine vollständige Löschung aufgrund technischer Gegebenheiten nicht möglich ist. Allerdings muss die betroffene Person in beiden Fällen darüber informiert werden. Eine weitergehende, über diese Erfüllung rechtlicher Verpflichtungen hinausgehende Nutzung der Daten ist nicht gestattet.
- Auch handschriftliche Aufzeichnungen (wie z.B. Adresslisten) fallen unter obengenannte Regelung.
- Die Daten sind jederzeit auf dem höchst möglichen Stand der aktuellen technischen Entwicklung zu sichern vor unbefugtem Zutritt durch Dritte zu schützen.
Datenschutzbeauftragter:
- Jedes Unternehmen, zu deren Kerntätigkeiten es zählt, Daten zu erheben und zu verarbeiten ist verpflichtet einen Datenschutzbeauftragten zu ernennen. Unabhängig von der Mitarbeiteranzahl. Ebenso entbindet eine erfolgte Datenschutzfolgeabschätzung nicht von der Verpflichtung einen Datenschutzbeauftragten zu stellen.
Rechte betroffener Personen:
- Die betroffene Person hat das Recht, das personenbezogene Daten auf ihren Wunsch vollständig gelöscht werden müssen, falls keine Rechtsgrundlage mehr für deren Speicherung besteht.
- Der Betroffene hat Anspruch auf die Herausgabe seiner vollständigen personenbezogenen Daten an ihn selbst oder an von ihm gewünschte Dritte.
- Die betroffene Person hat jederzeit das Recht ihre Einwilligung zur Datenverarbeitung zu widerrufen.
Dokumentation:
- Alle Abläufe und Prozesse der Datenverarbeitung, einschließlich der ausdrücklichen Einwilligung und die Datenschutzfolgeabschätzung, sollten als rechtliche Absicherung so lückenlos wie möglich dokumentiert werden.
Haftung, Bußgelder, Schadensersatzansprüche:
- Auch Angehörige / Unternehmen aus Nicht-EU Staaten sind haftungspflichtig
- Allg. höheres Haftungsrisiko, sowohl für Unternehmen, als auch deren Datenschutzbeauftragten und die datenverarbeitenden Mitarbeiter
- Bußgelder wurden erhöht (je nach Vergehen bis zu 20 Millionen €, oder bei Unternehmen bis zu 4% des weltweiten Jahresumsatzes)
- Es bestehen Ersatzansprüche bei materiellen und immateriellen Schäden der Betroffenen
Überprüfen Sie, ob Ihr Unternehmen fit ist für den Datenschutz ab dem 25.05.2018 und nehmen sie die entsprechenden nötigen Änderungen vor. Hier haben wir für Sie eine kleine Checkliste zusammengestellt.
Federleicht zum umfassenden Datenschutz
– mit uns aus dem UnternehmerHaus Ennepe-Ruhr