Die neue Datenschutzgrundverordnung der EU

Die Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO /  General Data Protection Regulations GDPR) gewinnt an Fahrt und läutet weitreichende Veränderungen in Bezug auf den Geschäftsbetrieb, globale Geschäftsbeziehungen und die persönliche Freiheit in der Geschäftswelt der Europäischen Union ein.

Die zentralen Grundsätze der DSGVO / GDPR:

Ein einheitliches Regelwerk. Durch Datenschutzvorschriften, die in der gesamten EU gelten, entfällt lästiger Verwaltungsaufwand.

Eine einzige Behörde. Jede Region verfügt über eine Aufsichtsbehörde für den Datenschutz, die mit den Aufsichtsbehörden in anderen EU-Ländern zusammenarbeiten muss. (Das Wort „einzige“ ist nicht ganz zutreffend, da es eine übergeordnete Aufsichtsbehörde geben wird.) Der Europäische Datenschutzausschuss besteht aus den Leitern der Aufsichtsbehörden der Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten. Dieser Ausschuss hat die Befugnis, den nationalen Aufsichtsbehörden Leitlinien zur Verfügung zu stellen und Streitigkeiten beizulegen.

Definition des Begriffs Daten. Der Anwendungsbereich des Ausdrucks „personenbezogene Daten“ wurde erweitert. Die Liste der „sensiblen Daten“ wurde um zwei neue Kategorien ergänzt: genetische Daten und biometrische Daten. Dazu gehören Daten, aus denen die Rasse oder ethnische Herkunft, die politische Meinung, die Religion oder Weltanschauung, die Gewerkschafts- zugehörigkeit, der Gesundheitszustand und die sexuelle Orientierung hervorgehen.

Pseudonymisierung und Anonymisierung. Die Verordnung betrifft nicht die Verarbeitung vollständig anonymisierter Daten. Pseudonymisierte Daten werden dagegen als personenbezogene Daten betrachtet, da sie einer bestimmten Person wieder zugeordnet werden können.

Einwilligung. Die betroffene Person muss ihre Einwilligung für den konkreten Fall, in informierter Weise und freiwillig geben. Es gibt jedoch Einschränkungen in Bezug auf die Einwilligung. So kann von den Verbrauchern nicht verlangt werden, dass sie durch ihre Einwilligung missbräuchlichen Vertragsklauseln zustimmen. Außerdem liefert die Einwilligung keine gültige Rechtsgrundlage, „wenn zwischen [dem Verbraucher] und dem [Unternehmen] ein klares Ungleichgewicht besteht“. Die Einwilligung des Verbrauchers liefert auch dann keine gültige Rechtsgrundlage, wenn die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags nicht erforderlich ist. Dies wird sich nachhaltig auf das Geschäftsmodell kostenloser Apps oder Dienstleistungen auswirken, bei dem die Kosten für die Erbringung der Dienstleistung durch den Verkauf von Benutzerdaten gedeckt werden.

Interne Kontrollen. Es müssen Maßnahmen und Verfahren der internen Kontrollen für den Umgang mit Beschwerden festgelegt werden. Jede Verletzung des Schutzes personenbezogener Daten sowie deren Untersuchung müssen dokumentiert werden.

Datenschutzbeauftragter. Unternehmen, die große Kundendatenbanken betreiben, müssen einen Datenschutzbeauftragten benennen. KMU mit weniger als 250 Mitarbeitern sind davon befreit, sofern die Verarbeitung personenbezogener Daten nicht wesentlicher Bestandteil ihrer Geschäftstätigkeit ist.

Datenübertragbarkeit. Die Verbraucher können leichter Auskunft zu ihren personenbezogenen Daten erhalten, und die Übermittlung dieser Daten wird vereinfacht.

Recht auf Löschung („Recht auf Vergessenwerden“). Wenn ein Verbraucher nicht mehr möchte, dass seine personenbezogenen Daten verarbeitet werden, werden diese gelöscht, vorausgesetzt, es liegen keine berechtigten Gründe für deren Aufbewahrung vor. Hierbei geht es um den Schutz der Privatsphäre von Personen, nicht darum, Ereignisse aus der Vergangenheit zu löschen oder die Pressefreiheit einzuschränken.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ bilden jetzt wesentliche Bestandteile der EU-Datenschutz- vorschriften. Datenschutzgarantien werden bereits zu Beginn der Entwicklung in die Produkte und Dienstleistungen integriert, und datenschutzfreundliche Voreinstellungen werden zur Norm – z. B. in sozialen Netzwerken und mobilen Apps.

Meldung von Verletzungen. Unternehmen müssen eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden der nationalen Aufsichtsbehörde melden.

Verhängung von Geldbußen. Verstößt ein Unternehmen gegen die Datenschutzvorschriften, werden Geldbußen von bis zu 4 % seines weltweit erzielten Umsatzes verhängt.

So bereiten Sie sich auf die DSGVO / GDPR Vorschriften vor

Stellen Sie sich darauf ein, Ihre Datenmanagementprozesse und IT-Systeme mit einem wesentlich stärkeren Fokus auf Datenschutz und Datensicherheit umzugestalten. Beachten Sie, dass Sie Ihre Sicherheitsmaßnahmen und -strategien auf Anfrage nachweisen müssen.

Stellen Sie ein Team unter der Leitung einer höheren Führungskraft zusammen, das alle Tätigkeiten im Zusammenhang mit dem Datenschutz überwacht. Wenn Ihr Unternehmen mehr als 250 Mitarbeiter beschäftigt, benennen Sie einen Datenschutz- beauftragten. Dieses Team muss regelmäßig über den Stand der Datenschutzvorkehrungen berichten und Compliance-Erklärungen abgeben.

Erstellen und implementieren Sie einen Prozess zur Meldung von Verstößen, und treffen Sie entsprechende Vorkehrungen, damit Sie Zwischenfälle besser erkennen, verwalten und beheben können. Jede Verletzung des Schutzes personenbezogener Daten muss gemeldet werden, auch wenn Schutzmaßnahmen wie Verschlüsselung ergriffen werden.

Bereiten Sie Ihr Unternehmen auf die Erfüllung der folgenden Anforderungen vor: „Recht auf Vergessenwerden“, „Recht auf Löschung“ und „Recht auf Datenübertragbarkeit“. Sie müssen eine Strategie für die Erhebung, Klassifizierung, Speicherung, Aufbewahrung und Löschung von Daten sowie die Suche nach Daten einführen. Diese Strategie muss alle Methoden der Datenerhebung (z. B. über das Internet, im Callcenter und auf Papier) umfassen.

Integrieren Sie Datenschutz in alle Ihre Systeme, und setzen Sie ihn durch. Die Kontrolle des Datenschutzes muss einfacher und leistungsstärker werden, sie muss schwieriger zu umgehen und in die Kernfunktionen des Systems eingebettet sein.