4 Dinge, die Sie wissen sollten | Die EU-Datenschutz-Grundverordnung

Figen Kaya News, Pressemitteilung Leave a Comment

Ab dem 25.05.2018 gelten beim Datenschutz strengere Vorschriften. Grund hierfür ist die EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese EU-Norm beinhaltet neue Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung und Nutzung personenbezogener Daten. Betroffen davon sind alle Unternehmen, die Daten von Ansprechpartner in ihren IT-Systemen speichern – und das dürften nahezu alle sein.

Die Umsetzung in der deutschen Industrie geht laut einer Umfrage der Bitkom nur sehr schleppend voran. Im November gab die Bitkom dann bekannt, die DSGVO wird wohl nur von jedem achten Unternehmen zum Stichtag umgesetzt werden können.

1. Was bedeutet die Datenschutz-Grundverodnung?

Datenschutz – neu und doch nicht neu. Die EU-DSGVO ist eine Weiterentwicklung der bisherigen Datenschutzvorschrift der EU, der bereits 20 Jahre alten Datenschutz-Richtlinie. Die DSGVO gilt als einheitliche Rechtsnorm für die gesamte EU und über diese hinaus. Sie stellt neue Anforderungen im Hinblick auf die Dokumentierung von IT-Prozessen, die Meldepflichten bei Datenschutzverletzungen und eine strengere Datenminimierung auf. Mit ihr entsteht eine einheitliche Gesetzgebung zur Durchsetzung der Datenschutzvorschriften und -normen in Europa, und sie etabliert ein Recht auf den Schutz personenbezogener Daten. Mit ihr wird das in Recht umgesetzt was einem der gesunde Menschenverstand rät, insbesondere Ansätze des Datenschutzes ab Entwurfsebene: das Speichern der minimal benötigten Daten, Löschen von nicht mehr benötigten Daten, Zugriffsbeschränkung und Schutz von Daten über deren gesamten Lebenszyklus.

2. Warum überhaupt eine neue Datenschutz-Verordnung?

Sinn und Zweck der DSGVO ist zum Einen den Datenschutz in Europa zu vereinheitlichen und zum Anderen die Rechte von Personen zu stärken. Unternehmen sollen sich darauf verlassen können, dass in der gesamten EU einheitliches Recht in Bezug auf den Umgang mit personenbezogenen Daten besteht. Umgekehrt wird auch das Recht von natürlichen Personen (also nur Menschen, keine Organisationen) auf den Schutz ihrer persönlichen Daten gestärkt.

3. Was ändert sich durch die DSGVO?

Wie bereits im ersten Absatz angerissen, ist vieles nicht neu. Nur der Umgang damit wird sich ändern. Konkret bedeutet das folgendes in Kurzform:

Recht auf Vergessen:

Als Person haben Sie das Recht, Ihr Daten vollständig bei einem Unternehmen löschen zu lassen. Das hört sich selbstverständlich an, war es bis dato aber nicht, da es für viele Systeme auch eine technische Herausforderung ist. Oftmals sind Datensätze miteinander verbunden, was das Löschen erschwert.

Datenübertragbarkeit:

Jede Person kann von Ihnen eine Kopie ihrer Daten in einem gängigen, maschinenlesbaren Format verlangen (z. B. XML – aktuell gibt es noch kein offizielles Format). Diese Regelung erlaubt es Nutzern unter anderem, ihre Daten mitzunehmen, wenn sie den Anbieter (oder auch Arbeitgeber) wechseln. Als Unternehmen müssen Sie die Frage beantworten können, woher die Daten stammen, mit welcher Begründung sie erhoben wurden und wer sie verarbeitet hat. Zudem müssen Sie auf Anfrage auch die Übertragung zu einem neuen Anbieter organisieren und durchführen.

Auskunftspflicht:

Eine betroffene Person muss jederzeit nachvollziehen können, wer ihre Daten erhebt, welche Daten das sind und in welcher Form sie verarbeitet werden. Damit will die EU verhindern, dass die Rechte einer Person hinter ihrem Rücken verletzt werden. Das heißt für Sie als Unternehmen: Wann immer Sie personenbezogene Daten erheben, müssen Sie die betroffene Person über diesen Vorgang informieren. Das gilt nicht nur, wenn Sie die Daten direkt von den Betroffenen erhalten (z. B. über eine Auftragsanfrage). Die Informationspflicht greift auch, wenn Sie Daten über Dritte erhalten (z. B. als Kontaktliste eines Geschäftspartners).

Accountability:

Mit der DSGVO kommen umfangreiche Nachweispflichten auf Unternehmen zu. Laut der Verordnung müssen Sie nicht nur alle Vorgaben einhalten, sondern dies zudem auch noch nachweisen können. Ohne klar definierte und vor allem dokumentierte Prozesse wird das kaum gelingen. Hinzu kommt, dass Unternehmen in manchen Fällen vor der Verarbeitung extra kontrollieren müssen, ob die Rechte des Betroffenen angemessen berücksichtigt werden. Solch eine Folgeabschätzung wird zum Beispiel dann gefordert, wenn eine Persönlichkeitsbewertung des Betroffenen stattfindet.

Privacy-by-Default:

Während der Entwicklung von IT-Lösungen / Software muss der Anbieter darauf achten, dass ein maximales Datenschutzniveau voreingestellt ist. Das heißt, wenn der Nutzer die Standardoptionen nicht verändert, werden standardmäßig nur die Daten erhoben, die für den Arbeitsvorgang zwingend notwendig sind. Damit sollen vor allem Nutzer geschützt werden, die nur wenig technikaffin sind.Für ERP und CRM Anbieter keine leichte Aufgabe, denn gerade dort stehen Menschen im Mittelpunkt.

4. Bin auch ich von der DSGVO betroffen?

Generell gilt die DSGVO für alle Unternehmen und Organisationen, die….

… personenbezogen Daten verarbeiten und speichern.

… die Person wohnt innerhalb der EU

Wenn Sie sich also Ihren Arbeits-Alltag durch den Kopf gehen lassen, werden Sie sehr oft Beispiele finden, die dazu passen. Alleine wenn Sie ein Angebot, einen Lieferschein oder eine Rechnung erstellen, haben Sie einen Ansprechpartner mit Daten im Hintergrund gespeichert.

Ein weiterer Cloue ist, wenn Sie mit Ihrem Unternehmen außerhalb der EU sitzen, sind sie von diesem Thema nicht befreit. Der Schutz geht nämlich über die Grenzen hinaus. Es reicht bereits aus, wenn Sie die Daten einer Person verarbeiten, die sich zurzeit innerhalb der EU aufhält und schon unterliegen Sie der DSGVO.

Sie können also grundsätzlich davon ausgehen, dass die DSGVO auch für Ihr Unternehmen relevant ist. Den Gesetzestext können Sie hier als Download (BDSG-neu Gesetzestext) erhalten.

Tragen Sie sich in unseren gesonderten Newsletter zum Thema DSGVO ein, um weitere Informationen zu  erhalten:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.