Die DSGVO ist da – was Unternehmer jetzt wissen und tun müssen

Zum 25.05.2018 tritt in Europa die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie schafft innerhalb der Europäischen Union einen übereinstimmenden Rechtsrahmen zum Umgang mit personenbezogenen Daten. Bedingt durch das fortschreitende Internetzeitalter wurde die DSGVO bereits im Mai 2016 von der EU als Gesetz anerkannt. Sie soll die Datenschutzrichtlinie von 1995 ersetzen, deren Inhalte noch für die Anfangszeit des Internets galten. Die letzten zwei Jahre war es die Aufgabe der einzelnen EU-Mitgliedsstaaten, dafür zu sorgen, dass die DSGVO in ihrem Staatsgebiet durchsetzbar ist.

Die DSGVO verfolgt zwei grundlegende Ziele: Einerseits soll sie EU-Bürgern eine erhöhte Kontrolle über ihre personenbezogenen Daten geben und gewährleisten, dass ihre Informationen in Europa geschützt sind. Der Bürger hat das Recht auf informationelle Selbstbestimmung – er muss der Speicherung und Verarbeitung seiner Daten aktiv zustimmen. Ein stillschweigendes Einverständnis über Opt-out-Formulare, in welchen die Datenschutzerklärung automatisch akzeptiert wird, ist nach der DSGVO nicht ausreichend. Der Nutzer muss aktiv sein Häkchen in entsprechende Felder setzen, wenn er mit der Verarbeitung seiner Daten einverstanden ist.

Zweitens vereinheitlicht sie das Datenschutzrecht in der EU und löst die bisherigen unterschiedlichen Standards ab. Unternehmer und Kunden können sich sicher sein, dass mit Inkrafttreten der DSGVO überall in der EU das gleiche Datenschutzrecht gilt. In Deutschland werden die meisten Grundsätze des bisherigen Bundesdatenschutzgesetzes (BDSG) damit nichtig oder entsprechend der DSGVO angepasst.

Wen betrifft die DSGVO?

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von Mitarbeitern oder Kunden erfassen und speichern. Dazu zählen Konzerne ebenso wie Agenturen, Startups oder Online-Shops – im Grunde genommen jedes Unternehmen, das digitale Aktivitäten vorweisen kann: Newsletter, Nutzertracking, CRM, Werbung auf Social Media Kanälen, Werbemails und weitere.

Zudem gilt die DSGVO für alle Unternehmen, die aus Ländern der Europäischen Union stammen. Sogar außereuropäische Unternehmen müssen sich an ihre Verordnungen halten, sofern sie eine EU-Niederlassung haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Die DSGVO ist ab dem 25.05.2018 gültig – eine verlängerte Übergangsfrist oder andere Milderungen für Unternehmen, die den Umstieg nicht rechtzeitig geschafft haben, gibt es nicht.

Um auch die großen Weltkonzerne belangen zu können, wurde der Bußgeldrahmen bei Verstößen besonders erhöht und kann sich bis auf vier Prozent des weltweiten Jahresumsatzes des Unternehmens belaufen.

Was müssen Unternehmer jetzt tun?

Die DSGVO bedeutet nicht nur auf dem Papier wesentliche Änderungen im Datenschutzrecht. Um in der Zukunft nach ihren Richtlinien entsprechend agieren zu können, liegt es nun an den Unternehmern, einige Maßnahmen zu ergreifen.

  1. Datenübersicht und Datenbereinigung

Zur besseren Datenkontrolle muss eine Übersicht aller personenbezogenen Daten im Unternehmen angelegt werden. Dieses „Verzeichnis der Verarbeitungstätigkeiten“ ist laut Art. 30 der DSGVO verpflichtend. Es beinhaltet die persönlichen Daten von Kunden wie Mitarbeitern und gibt an, wofür diese genutzt werden, wo sie gespeichert sind, welche Personen Zugriffe dafür haben und welche möglichen Risiken für diese Daten bestehen. Darüber hinaus muss jeder Prozess rund um die Datenverarbeitung dokumentiert werden. Alle Daten, die keine wirkliche Verwendung finden, gilt es umgehend online zu löschen und auch offline per Aktenvernichter zu beseitigen. Hier lohnt es sich ggf. eine Firma zu beauftragen, die die Akten professionell entsorgt. Entsprechende Behälter sowie Aktenvernichter gibt es bei gaerner und sonstigen Anbietern für Büroausstattung. Die DSGVO bedingt eine disziplinierte Handhabung mit personenbezogenen Daten – daher sollte die Datenbereinigung genauso diszipliniert ablaufen.

  1. Verbesserte Datensicherheit

Für die komplette IT-Infrastruktur im Unternehmen müssen Unternehmer entsprechende Schutzmaßnahmen entwickeln lassen, um so einer Verletzung der Datensicherheit vorzubeugen. Dementsprechend müssen Sicherheitsvorkehrungen implementiert werden, welche die Daten schützen und dafür sorgen, dass im Falle einer Verletzung der Datensicherheit die entsprechenden Personen und Behörden zeitnah verständigt werden können. Dabei gelten diese Sicherheitsvorkehrungen nicht nur für das eigene Unternehmen; auch die Datenverfahren von Zulieferern und Partner-Unternehmen müssen geprüft werden.

Zudem sollten alle Formulare und Erklärungen zum Datenschutz im Unternehmen untersucht werden. Da nach der DSGVO Einzelpersonen der Erfassung und Verarbeitung ihrer Daten aktiv zustimmen müssen, haben bereits angekreuzte Kästchen oder eine stillschweigende Zustimmung keine Gültigkeit mehr. Gegebenenfalls müssen diese Unterlagen entsprechend angepasst werden.

  1. Datenschutzbeauftragung

Alle Unternehmen, die personenbezogene Daten verarbeiten und mehr als neun Mitarbeiter aufweisen können, müssen einen Datenschutzbeauftragten benennen. Als Mitarbeiter zählen nicht nur Vollzeitkräfte, sondern auch Teilzeitangestellte, Praktikanten oder freiberufliche Unterstützer – und damit auch jene, die nur sehr selten Daten verarbeiten, etwa durch Einsicht in die Kundendatenbank. Der benannte Datenschutzbeauftragte ist verpflichtet, sein Fachwissen durch regelmäßige Fortbildungen – z.B. bei der Industrie- und Handelskammer – sicherzustellen.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *