Datenschutz und IT

DSGVO und BDSG-neu: Darauf müssen sich Unternehmen einstellen

© the_lightwriter - Fotolia.com

Bis zum 25. Mai 2018 haben Unternehmen Zeit, die EU-Datenschutz-Grundverordnung (DSGVO) umzusetzen. Jeder Arbeitnehmer, der mit personenbezogenen Daten wie Mitarbeiterdaten oder Informationen von Kunden arbeitet, muss sich auf Änderungen im Arbeitsalltag einstellen.

DSGVO stärkt Rechte der EU-Bürger

Insbesondere stärkt die DSGVO die Rechte der EU-Bürger: Betroffene erhalten gemäß Kapitel III der DSGVO mehr Kontrolle über ihre personenbezogenen Daten und über den Umgang mit diesen:

In Art. 13 und 14 DSGVO ist geregelt, dass Betroffene über ihre Rechte in Kenntnis gesetzt werden müssen. Außerdem räumt das Gesetz diesen Folgendes ein:

  1. Auskunftsrecht: Betroffene können gemäß Art. 15 DSGVO eine Bestätigung verlangen, ob personenbezogene Daten von ihnen verarbeitet werden. Wenn ja, steht ihnen eine Auskunft über diese Daten zu. Der Betroffene kann daraufhin gemäß Art. 16 DSGVO verlangen, dass seine Daten vervollständigt oder berichtigt werden, soweit dies den Zweck der Datenspeicherung betrifft.
  2. Recht auf Vergessenwerden: Der Betroffene kann gemäß Art. 17 DSGVO zudem die Löschung seiner Daten verlangen. Die verantwortliche Stelle ist in diesem Fall verpflichtet, sämtliche Stellen, die diese Daten verarbeitet haben, über den Wunsch des Betroffenen zu informieren.
  3. Übertragbarkeit der Daten: Der betroffene Bürger/Kunde kann gemäß Art. 20 DSGVO verlangen, dass ihm eine Kopie der über ihn vorhandenen personenbezogenen Daten in einem üblichen Dateiformat überliefert wird. So kann er seine Daten problemlos von einem Anbieter zum anderen mitnehmen.
  4. Erlaubnisvorbehalt: Eine Datenverarbeitung ist gemäß Art. 6 DSGVO nur rechtmäßig, wenn die Person einer Verarbeitung für einen oder mehrere Zwecke ausdrücklich zugestimmt hat, die Datenverarbeitung erforderlich ist, um den Vertrag erfüllen zu können, oder wenn eine der weiter genannten Ausnahmen vorliegt.
  5. Widerspruchsrecht: Ist die betroffene Person nicht mit der Verarbeitung ihrer Daten einverstanden, kann sie von ihrem Widerspruchsrecht Gebrauch machen. Das betrifft besonders Geschäftsfelder wie Direktmarketing.
  6. Koppelungsverbot: Ein Website-Betreiber darf gemäß Art. 7 Absatz 4 DSGVO die Erfüllung seines Auftrags nicht davon abhängig machen, dass ihm der Kunde Daten überlässt, die nicht wirklich notwendig sind, um den Vertrag abzuschließen.
  7. Recht auf Information bei Datenschutzvestößen: Unternehmen und Organisationen müssen sowohl Aufsichtbehörde als auch den Betroffenen unverzüglich über schwere Datenschutzverstöße informieren, damit die Nutzer Maßnahmen ergreifen können. Das regeln Art. 33 und Art. 34 DSGVO.

Vor allem für kleine Unternehmen können diese Regelungen weitreichende Folgen haben. Denn Datenbestände, die in der Vergangenheit erhoben wurden und zu denen keine saubere Dokumentation vorliegt, stehen auf der Kippe oder müssen gar gelöscht werden.

DSGVO: Was Unternehmen jetzt schon tun können

Die Änderungen aufgrund der DSGVO halten sich für Unternehmen in Deutschland in Grenzen, weil das Bundesdatenschutzgesetz (BDSG) bereits Mindestanforderungen regelt. Unternehmen, die mit personenbezogenen Daten arbeiten, müssen aber auf die Stärkung der Betroffenen-Rechte reagieren:

  • Sie müssen mehr als bisher Auskunft über die bei ihnen über eine betroffene Person gespeicherten Daten erteilen.
  • Daten dürfen unter dem Blickwinkel der "Datensparsamkeit" gemäß Art. 5 DSGVO nur so weit erhoben werden, wie sie zur Erbringung der Leistungen notwendig sind.
  • Sie sollten bestehende Kunden um eine erneute Zustimmung zum Kontakt über Double-Opt-in-Verfahren bitten und den Vorgang sauber protokollieren.
  • Unternehmen müssen die eigenen Prozesse zur Datenerhebung und -verarbeitung überprüfen sowie geeignete Sicherheitsmaßnahmen einrichten.
  • Soweit es sich um "riskante Datenverarbeitungsvorgänge" handelt, muss das Unternehmen einen Datenschutzbeauftragten benennen.

Strafmaß bei Verstoß gegen die DSGVO

Bei bestimmten Verstößen kann ein Bußgeld in Höhe von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens bzw. 20.000.000 Euro (je nachdem, welcher Betrag höher ist) verhängt werden. Maßgeblich ist der weltweite Jahresumsatz des betroffenen Unternehmens des vorangegangenen Geschäftsjahres.

DSGVO und BDSG-neu

Obwohl die DSGVO den Datenschutz EU-weit harmonisieren soll, beinhaltet die Verordnung eine Reihe sogenannter Öffnungsklauseln, die den einzelnen EU-Staaten Anpassungen an ihre nationalen Gegebenheiten erlauben, solange diese nicht der Verordnung zuwiderlaufen.

Genau das hat Deutschland bereits getan: Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU), das am 5. Juli 2017 im Bundesgesetzblatt verkündet worden ist, wird auch das BDSG neu geregelt. Das  BDSG-neu tritt ebenfalls am 25. Mai 2018 in Kraft.

Für die rechtssichere Umsetzung der zahlreichen Datenschutzvorschriften müssen Mitarbeiter geschult werden. Praktische Arbeitshilfen unterstützen anschließend bei der Umsetzung im Alltag. Genau das und vieles mehr bietet die digitale Formularsammlung "Dokumentenmappe: Datenschutz im Unternehmen".

Quelle: "Das GmbH-Recht", Internet World Business, Kapersky Labs GmbH

Praxiserprobte Vorlagen für eine rechtssichere Datenschutzorganisation und Dokumentation, um die vorgeschriebenen Pflichten lt. DSGVO und BDSG-neu mühelos zu erfüllen. Jetzt bestellen!
Kommentar schreiben
Captcha

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Mehr zum Thema Datenschutz und IT: