EU-Datenschutzgrundverordnung – die neuen Regeln

1

Mit der Datenschutz-Grundverordnung (DSGVO) hat die EU die Verarbeitung von personenbezogenen Daten neu geregelt und das Datenschutzrecht innerhalb Europas vereinheitlicht. Unternehmen haben bis zum 25. Mai 2018 Zeit, um ihre Datenschutzpraxis an die Anforderungen der DSGVO anzupassen und weiterzuentwickeln. Doch wie sieht ein DSGVO-konformes Datenschutzmanagement aus? Worauf müssen die Datenschutzbeauftragten im Unternehmen achten? Gerade für das zunehmend von Daten getriebene Marketing bringt die neue Verordnung Herausforderungen mit sich, aber auch Cloud-Anbieter müssen sich mit den Haftungsregeln beschäftigen. Bei einer Missachtung der Datenschutzregeln drohen wesentlich höhere Bußgelder als früher.

Welche sind die wichtigsten Neuregelungen der EU-Datenschutz Grundverordnung?

Die neue EU Datenschutzgrundverordnung stärkt vor allem die Rechte der Betroffenen, wenn es um die Verarbeitung personenbezogener Daten geht. Die neuen Transparenz- und Informationspflichten der Unternehmen schützen Betroffene deutlich stärker als die bislang geltenden Regelungen des Bundesdatenschutzgesetzes. Ab 2018 werden diese Rechte von Betroffenen erweitert:

  • Recht auf Information
  • Recht auf Auskunft und Widerspruch
  • Recht auf Berichtigung und Löschung
  • Recht auf Datenübertragbarkeit

Unsere Seminarempfehlung

Leitfaden Datenschutzmanagement nach der EU-DatenschutzgrundVO

Mit diesem Seminar stellen Sie sicher, dass Sie im Rahmen der zweijährigen Umsetzungsfrist der EU-Datenschutzgrundverordnung (DSGVO) die praxisnahe Umsetzung gemeistert haben. In diesem Leitfaden wird das Datenschutzmanagement im Unternehmen exemplarisch durchgegangen und die Stellschrauben werden geklärt. Jetzt liegt es an Ihnen: Wir zeigen Ihnen, wie Sie dieses Know-how erfolgreich anwenden.


Seminar EU-DatenschutzgrundVO

Welche Auswirkungen hat die Datenschutzgrundverordnung auf Unternehmen?

Höhere Anforderungen an die informierte, freiwillige Einwilligung

Standardmäßig angekreuzte Kästchen, stillschweigendes Einverständnis oder Untätigkeit des Betroffenen – all diese Schlupflöcher werden zukünftig gestopft und stellen keine Einwilligung dar! Unternehmen müssen nachweisen können, dass Betroffene eine freiwillige, spezifisch informierte und eindeutige Einwilligung zur Datenverarbeitung gegeben haben. Die DSGVO sieht sogar vor, dass bei verschiedenen Datenverarbeitungsvorgängen jeweils gesondert eingewilligt werden muss.

Recht auf Information

Die Informations- und Auskunftspflichten wurden erweitert: Unternehmen müssen den Betroffenen zukünftig eine Reihe an zusätzlichen Informationen zur Verfügung stellen. Darunter sind Informationen zur Rechtsgrundlage sowie Angaben zur Speicherungsdauer. Werden seine Daten zu einem anderen Zweck verarbeitet, muss der Betroffene erneut informiert werden.

Recht auf Datenübertragbarkeit

Betroffene, die ihre Daten selbst zur Verfügung gestellt haben, können diese Daten vom Unternehmen in einem gängigen Format einfordern. Der Betroffene kann auch den Wunsch äußern, dass seine Daten direkt an Dritte übermittelt werden. Damit soll es Betroffenen leichter gemacht werden, von einem Anbieter zu einem anderen zu wechseln, ohne dass Daten verloren gehen.

Recht auf Löschung und Berichtigung

Die Unternehmen sollten ihre Löschverfahren im Unternehmen prüfen, sodass sie bei Löschansprüchen schnell reagieren und die Daten löschen können. Anwender haben das sogenannte „Recht auf Vergessen werden“ nach Art. 17 DSGVO. Dieses Recht findet Anwendung, wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat, wenn die Daten unrechtmäßig verarbeitet wurden und wenn eine Rechtspflicht nach EU- oder nationalem Recht besteht.

Außerdem müssen Unternehmen dafür sorgen, dass ihr Datenbestand auf dem neuesten Stand ist. Sie haben die Pflicht, falsche Daten nicht nur bei sich zu korrigieren, sondern auch die Organisationen, an die sie gegebenenfalls die falschen Daten weitergegeben haben, darauf hinzuweisen, damit auch diese die erforderlichen Korrekturen vornehmen können.

Unsere Seminarempfehlung

Die neue EU-Datenschutz-Grundverordnung und Big Data im Marketing

In diesem Seminar erfahren Sie, wie sich die Neuregelung der Verarbeitung von personenbezogenen Daten mit der Datenschutz-Grundverordnung (DSGVO) auf Ihre Marketingmaßnahmen auswirkt und wie Sie Kundendaten weiterhin rechtssicher erheben, speichern und nutzen.


Seminar EU-Datenschutz-Grundverordnung

Recht auf Widerspruch

Der Betroffene muss seine Einwilligung jederzeit und ohne Begründung widerrufen können. Dabei ist der Widerruf der Einwilligung mindestens genauso einfach zu gestalten wie die Abgabe der Einwilligung. Unternehmen müssen dafür sorgen, dass Betroffene deutlich und getrennt von jeglicher anderer Information darauf hingewiesen werden, dass sie das Recht auf Widerspruch besitzen. Dies kann zum Beispiel durch eine besondere Hervorhebung des Widerspruchsrechts in den Datenschutzerklärungen erfolgen. Insbesondere bei Datenverarbeitungen zu Zwecken des Direktmarketings – auch wenn es um das sogenannte Profiling geht – hat der Betroffene das Recht zu widersprechen.

Welche Dokumente und Prozesse müssen in einem Unternehmen auf den Prüfstand?

Die Rechenschaftspflicht der Unternehmen ist in der EU-Datenschutz Grundverordnung stark in den Vordergrund gerückt. Daher ist ein effektives Datenschutzmanagement so enorm wichtig. Unternehmen müssen gegenüber einer Aufsichtsbehörde ihre datenschutzrechtlichen Maßnahmen ausreichend dokumentieren können, sonst laufen sie Gefahr, sich ein hohes Bußgeld einzuhandeln.

  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben)
  • Prozesse zur Umsetzung des Widerspruchsrechts
  • Einführung eines Risk Assessments
  • Anpassung der Prozesse bei Datenpannen
  • Anpassung der Betriebsvereinbarung
  • Einführung von Privacy Impact Assessment
  • Einführung von Verfahren, um Daten in einem gängigen Format zu übertragen

Welche Geldbußen drohen bei Verstößen gegen die europäische Datenschutz Grundverordnung?

Bislang wurden Strafen eher selten verhängt und wenn, dann lag die Höchstgrenze bei 300.000 Euro pro Verstoß. Doch die Neuregelung greift hier weitaus härter durch. Nach der neuen Vorschrift wird der weltweit erzielte Jahresumsatz des vorigen Geschäftsjahres als Bemessungsgrundlage herangezogen. Die Höchstgrenze liegt zukünftig bei 4 Prozent des weltweiten Umsatzes pro Verstoß  – bei großen Unternehmen kann das schwindelerregende Ausmaße annehmen. Umso wichtiger ist es, dass alle Teile einer Unternehmensgruppe in das Datenschutzmanagement  mit einbezogen werden. International agierende Unternehmen müssen sich auch darüber im Klaren sein, dass es das zukünftig koordinierte Vorgehen der EU-Datenschutzaufsichtsbehörden ermöglicht, Verstöße leichter zu identifizieren und zu verfolgen als früher.

Daher ist es so wichtig, dass sich Unternehmen ab sofort um ihr Datenschutzmanagement kümmern und die Prozesse so rasch wie möglich an die EU-Datenschutz-Grundverordnung anpassen.

Unsere Seminarempfehlung

Cloud Computing in der Praxis

In diesem Seminar erhalten Sie Praxis-Tipps zur rechtssicheren Gestaltung Ihrer Cloud-Projekte und erfahren, wie Sie Risiken bei der Umsetzung vermeiden. Denn IT-Infrastruktur und Daten über das Internet zur Verfügung zu stellen, ruft nicht nur den Datenschutz auf den Plan.


Seminar Cloud Computing
Teilen Sie den Beitrag auf:

Über den Autor

Diplom-Betriebswirtin (FH), Produktmanagerin für Betriebswirtschaft, Rechnungswesen, Finanzen und Controlling bei der Haufe Akademie.

1 Kommentar