EU-Datenschutzgrundverordnung – die neuen Regeln

1

In unserer heutigen digitalen Welt ist der Schutz von persönlichen Daten von größter Bedeutung. Dennoch gibt es immer wieder neue Herausforderungen und Regelungen, mit denen sich Unternehmen und Privatpersonen auseinandersetzen müssen.

In diesem Blogartikel werden wir uns mit den wichtigsten Regelungen der Datenschutzgrundverordnung befassen und erläutern, welche Auswirkungen diese auf Ihre täglichen Unternehmensaktivitäten haben können. Dabei darf nicht außer Acht gelassen werden, dass bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) auch Geldbußen in schwindelerregender Höhe entstehen können.

Wir hoffen, dass dieser Artikel Ihnen einen besseren Einblick in das Thema Datenschutz gibt und Ihnen dabei hilft, Ihre eigenen Daten und die Ihrer Kunden besser zu schützen.

Welche sind die wichtigsten Regelungen in der EU-Datenschutz Grundverordnung?

Die EU Datenschutzgrundverordnung stärkt vor allem die Rechte der Betroffenen, wenn es um die Verarbeitung personenbezogener Daten geht. Die Transparenz- und Informationspflichten der Unternehmen schützen Betroffene deutlich stärker als die bislang geltenden Regelungen des Bundesdatenschutzgesetzes. Im Jahr 2018 wurden diese Rechte von Betroffenen erweitert:

  • Recht auf Information
  • Recht auf Auskunft und Widerspruch
  • Recht auf Berichtigung und Löschung
  • Recht auf Datenübertragbarkeit

Welche Auswirkungen hat die Datenschutzgrundverordnung auf Unternehmen?

Höhere Anforderungen an die informierte, freiwillige Einwilligung

Standardmäßig angekreuzte Kästchen, stillschweigendes Einverständnis oder Untätigkeit des Betroffenen – all diese Schlupflöcher wurden gestopft und stellen keine Einwilligung dar! Unternehmen müssen nachweisen können, dass Betroffene eine freiwillige, spezifisch informierte und eindeutige Einwilligung zur Datenverarbeitung gegeben haben. Die DSGVO sieht sogar vor, dass bei verschiedenen Datenverarbeitungsvorgängen jeweils gesondert eingewilligt werden muss.

Recht auf Information

Die Informations- und Auskunftspflichten sind essentieller Betsandteil der DSGVO. Unternehmen müssen den Betroffenen eine Reihe an zusätzlichen Informationen zur Verfügung stellen. Darunter sind Informationen zur Rechtsgrundlage sowie Angaben zur Speicherungsdauer. Werden seine Daten zu einem anderen Zweck verarbeitet, muss der:die Betroffene erneut informiert werden.

Recht auf Datenübertragbarkeit

Betroffene, die ihre Daten selbst zur Verfügung gestellt haben, können diese Daten vom Unternehmen in einem gängigen Format einfordern. Der:Die Betroffene kann auch den Wunsch äußern, dass seine Daten direkt an Dritte übermittelt werden. Damit soll es Betroffenen leichter gemacht werden, von einem Anbieter zu einem anderen zu wechseln, ohne dass Daten verloren gehen.

Recht auf Löschung und Berichtigung

Die Unternehmen sollten ihre Löschverfahren im Unternehmen prüfen, sodass sie bei Löschansprüchen schnell reagieren und die Daten löschen können. Anwender haben das sogenannte „Recht auf Vergessen werden“ nach Art. 17 DSGVO. Dieses Recht findet Anwendung, wenn der:die Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat, wenn die Daten unrechtmäßig verarbeitet wurden und wenn eine Rechtspflicht nach EU- oder nationalem Recht besteht.

Außerdem müssen Unternehmen dafür sorgen, dass ihr Datenbestand auf dem neuesten Stand ist. Sie haben die Pflicht, falsche Daten nicht nur bei sich zu korrigieren, sondern auch die Organisationen, an die sie gegebenenfalls die falschen Daten weitergegeben haben, darauf hinzuweisen, damit auch diese die erforderlichen Korrekturen vornehmen können.

Recht auf Widerspruch

Der:Die Betroffene muss seine Einwilligung jederzeit und ohne Begründung widerrufen können. Dabei ist der Widerruf der Einwilligung mindestens genauso einfach zu gestalten wie die Abgabe der Einwilligung. Unternehmen müssen dafür sorgen, dass Betroffene deutlich und getrennt von jeglicher anderer Information darauf hingewiesen werden, dass sie das Recht auf Widerspruch besitzen. Dies kann zum Beispiel durch eine besondere Hervorhebung des Widerspruchsrechts in den Datenschutzerklärungen erfolgen. Insbesondere bei Datenverarbeitungen zu Zwecken des Direktmarketings – auch wenn es um das sogenannte Profiling geht – hat der:die Betroffene das Recht zu widersprechen.

Welche Dokumente und Prozesse müssen in einem Unternehmen auf den Prüfstand?

Die Rechenschaftspflicht der Unternehmen ist in der EU-Datenschutz Grundverordnung stark in den Vordergrund gerückt. Daher ist ein effektives Datenschutzmanagement so enorm wichtig. Unternehmen müssen gegenüber einer Aufsichtsbehörde ihre datenschutzrechtlichen Maßnahmen ausreichend dokumentieren können, sonst laufen sie Gefahr, sich ein hohes Bußgeld einzuhandeln.

  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben)
  • Prozesse zur Umsetzung des Widerspruchsrechts
  • Einführung eines Risk Assessments
  • Anpassung der Prozesse bei Datenpannen
  • Anpassung der Betriebsvereinbarung
  • Einführung von Privacy Impact Assessment
  • Einführung von Verfahren, um Daten in einem gängigen Format zu übertragen
  • Verarbeitungsverzeichnisse
  • Auftragsverarbeitungsverträge
  • und vieles mehr

Welche Geldbußen drohen bei Verstößen gegen die europäische Datenschutz Grundverordnung?

Vor Einführung der EU-DSGVO wurden Bussgelder eher selten verhängt und die Höchstgrenze lag bei 300.000 Euro pro Verstoß. Doch die Regelung in der EU-Datenschutz Grundverordnunggreift hier weitaus härter durch. In der EU_Datenschutzgrundverordnung wird der weltweit erzielte Jahresumsatz des vorigen Geschäftsjahres als Bemessungsgrundlage herangezogen. Die Höchstgrenze liegt bei 4 Prozent des weltweiten Umsatzes pro Verstoß  – bei großen Unternehmen kann das schwindelerregende Ausmaße annehmen. Umso wichtiger ist es, dass alle Teile einer Unternehmensgruppe in das Datenschutzmanagement  mit einbezogen werden. International agierende Unternehmen müssen sich auch darüber im Klaren sein, dass es das zukünftig koordinierte Vorgehen der EU-Datenschutzaufsichtsbehörden ermöglicht, Verstöße leichter zu identifizieren und zu verfolgen als früher.

Unternehmen, die sich um guten und aktuellen Datenschutz kümmern, gewinnen das Vertrauen neuer Kunden, binden Kunden an sich und erfahren eine gute Reputation. Letztlich stärkt das die Wettbewerbsfähigkeit und sichert den Erfolg des Unternehmens.

Daher ist es so wichtig, dass sich Unternehmen um ihr Datenschutzmanagement kümmern und die Prozesse an die EU-Datenschutz-Grundverordnung anpassen.

Teilen Sie den Beitrag auf:

Über den:die Autor:in

Susanne Kistler

Diplom-Betriebswirtin (FH), Produktmanagerin für Betriebswirtschaft, Rechnungswesen, Finanzen und Controlling bei der Haufe Akademie.

Zur Themenübersicht Recht und Datenschutz