Der Datenschutz ist ein hohes Gut. Hierzu hat sich die EU in der ihr typischen Vorgehensweise eine Regelung ausgedacht: die seit dem 24. Mai 2016 geltende europäische Datenschutz-Grundverordnung (DSGVO).
Der europäische Gesetzgeber hat sich – ebenfalls in typisch bürokratischer Vorgehensweise – dafür entschieden, dass der Datenschutz von den Unternehmen und den Bürgern sicherzustellen ist. Wer diesen Schutz nicht bereitstellt, handelt ordnungswidrig und hat mit Bußgeldern zu rechnen.
Dies bedeutet, dass sowohl Unternehmen als auch Privatpersonen eine Vielzahl von Vorschriften im Umgang mit Daten zu beachten haben. Die Verordnung wird zum 25. Mai 2018 scharf geschaltet, sehr zur Freude der Abmahnvereine, die schon in den Startlöchern stehen, um eine neue Einnahmemöglichkeit zu etablieren.
Das Wichtigste in Kürze:
- Ab dem 25. Mai 2018 sind die hierin enthaltenen Maßgaben zum Datenschutz verbindlich in allen Mitgliedstaaten anzuwenden.
- Ziel ist es, die Verbraucherrechte zu stärken. Datenverarbeitende Stellen müssen mit strengeren Regulierungen rechnen.
- Ein Verstoß gegen die EU-Datenschutzgrundverordnung kann das betreffende Unternehmen bis zu 20 Millionen Euro Geldbuße kosten – oder bis zu 4 % dessen weltweiter Umsätze (je nachdem, welcher Wert am Ende höher ausfällt).
- Eine Datenschutzbehörde wird eingerichtet, die den Beschwerden von Verbrauchern, Kunden und Mitarbeitern nachgeht.
Beschweren sich also in Zukunft Kunden oder Mitarbeiter bei der zuständigen Datenschutzbehörde, darf diese nicht untätig bleiben und muss den Beschwerden nachgehen.
Für Unternehmen gilt:
- Sind mindestens zehn Personen mit der Datenverarbeitung beschäftigt, muss ein Datenschutzbeauftragter bestellt werden, der für die Einhaltung verantwortlich zeichnet.
- Alle Unternehmen – unabhängig von der Größe – müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen und bereithalten. Dieses dient als Ausgangspunkt für eine Lückensuche (Gap Analysis), die von der Aufsichtsbehörde abgefragt werden kann.
- Das mit personenbezogenen Daten sorgfältig umgegangen wird, muss künftig nachgewiesen werden können. Hierzu sind umfassende technische und organisatorische Maßnahmen zu ergreifen, welche die Sicherheit der im Unternehmen verarbeiteten Personendaten gewährleistet. Werden im Rahmen der Auftragsbearbeitung personenbezogene Daten verarbeitet, muss die Einhaltung der DSGVO gewährleistet sein. Entsprechende Verträge müssen angepasst werden, bzw. neu abgeschlossen werden, falls noch nicht vorhanden.
- Auf der Homepage und anderen öffentlichen Auftritten sind die Informationspflichten wesentlich umfangreicher. So ist z.B. bei Kontaktfeldern, bei denen personenbezogene Daten erfasst werden, auf die Datenschutzbestimmungen hinzuweisen und eine Zustimmung einzuholen.
Es kann daher nur dringend geraten werden, sich mit der DSGVO zu befassen.
Dies beinhaltet u.a. die folgenden Punkte:
- Benennung eines Datenschutzbeauftragen, ggfls. auch externen Datenschutzbeauftragten mit entsprechender Vollmachtsausstattung
- Checkliste der technischen und organisatorischen Maßnahmen
- Verzeichnis der Verfahren beim Umgang mit personenbezogenen Daten
- Schulung und Sensibilisierung aller Mitarbeiter über Zweck und Anforderungen der DSGVO
- Erstellung einer Basisdokumentation zu den wichtigsten Fragen für den Datenschutz
- Nachweis über stichprobenartige Prüfung der Zulässigkeit der Verarbeitung
- Datenschutzerklärung und Transparenzerklärung für die Website
- Bereitstellung eines Beschwerdeverfahrens für Betroffenenrechte und Meldung
- Erstellung einer Liste, mit wem Auftragsdatenvereinbarungen getroffen wurden bzw. getroffen werden müssen.
- Vorgehen und Vertretungsregelung bei Kontrollen durch die Datenschutzaufsichtsbehörde
Gerne helfen wir Dir bei der Umsetzung.