Review | BetroffenheitJedes auf dem europäischen Markt tätige Unternehmen, das personenbezogene Daten – sei es von seinen Mitarbeitern, Kunden oder Partnern – sammelt, speichert und verarbeitet (unabhängig vom Sitz des Unternehmens und dem Ort, an dem die Datenverarbeitung stattfindet); Datenschutzbeauftragter NachrichtAm 24. Mai 2016 ist die europäische Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, kurz DSGVO) in Kraft getreten – ab dem 25. Mai 2018 ist sie jetzt anzuwenden. Eine (weitere) Übergangsfrist gibt es nicht.
Unternehmen, die im Bereich Datenschutz keine Vorkehrungen getroffen haben, werden im schlimmsten Fall um ein empfindliches Bußgeld nicht herumkommen. Der Bußgeldrahmen reicht bis zu 20 Millionen Euro respektive vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher der Beträge höher ist. Dazu können nach Art. 82 DSGVO auch Schadensersatzansprüche betroffener Personen kommen (z.B. wegen rechtswidriger Weitergabe von Daten an Dritte), was darüber hinaus zu einem deutlichen Anstieg datenschutzrechtlicher kostenpflichtiger Abmahnungen führen kann (ganze Riegen der Anwaltschaft scharren schon mit den Hufen). Und im Falle einer Datenschutzverletzung liegt die Beweispflicht auf Seiten der Unternehmen: Sie müssen nachweisen, dass ihre Verarbeitung datenschutzkonform war.
In diesem Zusammenhang hat das kürzlich veröffentliche Corrigendum mit der Streichung des Wortes „grundsätzlich“ in Art. 25 DSGVO für „Aufruhr“ gesorgt. Verantwortliche müssen nunmehr geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Damit darf zum Beispiel für den Versand einer Kunden-E-Mail oder eines Newsletters lediglich noch die E-Mail-Adresse als Pflichtfeld abgefragt werden. Das Speichern weiterer Daten wie Adresse, Telefonnummer, Alter oder Geschlecht ist untersagt – es sei denn, sie wurden als deutlich gekennzeichnete „freiwilligen Angaben“ gemacht. Dann sollte allerdings in der Datenschutzerklärung darüber informiert werden, warum welche freiwilligen Angaben gewünscht sind und was mit diesen Daten gemacht wird.
Die Einhaltung der datenschutzrechtlichen Anforderungen sowohl der DSGVO als auch des Bundesdatenschutzgesetzes (BDSG) stellt einen klaren Wettbewerbsvorteil dar. Der betriebliche Datenschutz ist ein wichtiger Faktor für den Erfolg eines Unternehmens. Sowohl das Vertrauen der eigenen Mitarbeiter als auch das von Geschäftspartnern und Kunden hängt von der Sicherheit ihrer Daten ab. Daher gewinnen Datenschutzzertifizierungen zunehmend an Bedeutung. Während es die Möglichkeit der Zertifizierung nach dem BDSG bereits gibt (hier stehen jetzt allerdings im Hinblick auf die DSGVO Umstellungen an), befindet sich die Zertifizierung nach der DSGVO (Art. 42 f.) noch im Aufbau.
eco COMPLIANCE wird berichten, sobald von den Datenschutzbehörden die Kriterien für die Akkreditierung einer Zertifizierungsstelle abgefasst und veröffentlicht worden sind. HandlungsempfehlungÜberprüfen Sie Ihre Datenverarbeitungsprozesse, und setzen Sie, soweit noch nicht geschehen, die neuen Vorgaben umgehend um. Bedenken Sie, dass, auch wenn noch Unsicherheiten oder Unklarheiten bei der Umsetzung bestehen, jede Umsetzung besser ist als keine.
Prüfen Sie, ob Ihre Datenschutzerklärung aktuell ist.
Prüfen Sie insbesondere, ob Sie wirklich nur notwendige Daten speichern und diese auch nicht länger als notwendig gespeichert werden.
Prüfen Sie, ob Sie sicherstellen können, dass die Daten nur für einen spezifischen Zweck gespeichert und nicht anderweitig genutzt werden.
Erstellen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten mit der Übersicht aller Datenverarbeitungsprozesse.
Schaffen Sie Prozesse, mit denen Sie Personen Auskunft über ihre personengebundenen Daten geben und diese Daten auf Anforderung auch löschen können.
Prüfen Sie, ob Ihre gespeicherten personenbezogenen Daten ausreichend gegen Missbrauch geschützt sind.
Richten Sie ein Beschwerdemanagement für die Fälle der Geltendmachung von Betroffenenrechten ein, und stellen Sie sicher, dass Ihr Budget in Anbetracht der Haftungsrisiken und möglichen Bußgelder ausreichend bemessen ist.
Kommen Sie im Falle einer Verletzung des Schutzes personenbezogener Daten Ihrer Meldepflicht gegenüber der Aufsichtsbehörde fristgerecht (binnen 72 Stunden) nach.
Überwachen Sie Ihre Datenschutzprozesse regelmäßig (alle sechs bis zwölf Monate), und passen Sie sie im Fall von Änderungen punktuell an.
Lassen Sie sich zu gegebener Zeit ggf. auch nach der DSGVO zertifizieren. PflichtenbezugGeänderte/neue Pflichten zu den Kategorien: keine (die Pflichten wurden bereits im Jahr 2016 eingestellt) |