Jetzt wird es Zeit… Die neue Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 für alle Unternehmen verbindlich. Dann ist der neue Datenschutz in den jeweiligen Mitgliedstaaten anzuwenden. Vor allem die Verbraucherrechte sollen mit der Datenschutz-Grundverordnung gestärkt werden. In der Praxis stellen die strengeren Regulierungen viele Unternehmen jedoch vor erhebliche Herausforderungen.
Was müssen Unternehmen über die neue Datenschutz-Grundverordnung wissen? Welche Vorbereitungen müssen sie jetzt treffen? Wie wird die neue Verordnung berufliche Abläufe beeinflussen? Im Interview stellt Rechtsanwältin Kerstin Beneke die neue Datenschutz-Grundverordnung vor und gibt praktische Tipps. Dabei konzentriert sich die Anwältin vor allem auf Selbstständige, kleine und mittelständische Unternehmen, damit sie einen leichteren Einstieg in die umfassende Verordnung finden.
Inhaltsverzeichnis
Für wen gilt die neue Datenschutz-Grundverordnung?
Die neue DSGVO betrifft unmittelbar alle Unternehmen, deren Angebot sich an einen bestimmten nationalen Markt in der EU richtet, unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist.
Ab wann gilt die Grundverordnung?
Die DSGVO wird nach einer zweijährigen Übergangszeit am 25.05.2018 in der gesamten EU für die Unternehmen direkt gültig und rechtswirksam, die mit personenbezogenen Daten arbeiten. Ab diesem Datum gelten strengere Regeln für den Umgang mit personenbezogenen Daten und härtere Strafen bei Verstößen. Waren es bisher maximal 300.000 Euro, so kann es nun bis zu 20 Millionen Euro Geldbuße oder 4 % des weltweiten Jahresumsatzes kosten.
Was sind personenbezogene Daten und wann fallen sie an?
Personenbezogene Daten sind Informationen, die einer konkreten Person zugeordnet werden können. Dazu gehören alle Daten, die direkt zur Identifizierung einer Person geeignet sind wie z.B. der Name, der Wohnort, die E-Mail-Adresse oder die Telefonnummer, aber auch Daten über die eine Identifizierung indirekt möglich ist wie z.B. eine Kunden- oder Mitarbeiternummer.
Jegliche Art von Datenverarbeitung ist weiterhin nur zulässig ist, wenn entweder eine Rechtsvorschrift dies zulässt oder eine Einwilligung der betroffenen Person vorliegt. Es dürfen nur die Daten gemäß § 28 Abs. 1 Nr. 1 BDSG erhoben werden, wenn und soweit dies für die Begründung und Abwicklung eines Vertrages erforderlich ist. Um dem Kunden beispielsweise ein Exposé zu übersenden dürfen der Name zur Identifikation und Kontaktdaten wie die Postanschrift oder E-Mail-Adresse erfragt werden. Das ist nichts Neues.
Was müssen Unternehmen berücksichtigen, wenn sie Adressdaten an Dritte weitergeben, zum Beispiel, wenn Sie die Adresse eines neuen Mitarbeiters an den Steuerberater für die Gehaltsabrechnung übergeben?
Die Feststellung und Weitergabe der Adressdaten und Bankverbindung des Mitarbeiters ist zur Durchführung der Gehaltszahlung notwendig. Diese Daten dürfen daher gemäß durch Art. 88 DSVGO und § 26 BDSG-neu weitergegeben werden. Beachten Sie bei der Erhebung der Daten von dem Mitarbeiter den Grundsatz der Datensparsamkeit. Verlangen Sie nur diejenigen Daten, die erforderlich sind. Gleiches gilt für die Weitergabe.
Ohne gesetzliche Grundlage bedarf es immer einer Einwilligungserklärung. Die Einwilligungserklärung muss in Deutschland in verständlicher, leicht zugänglicher Form, in klarer und einfacher deutscher Sprache sein. „Verstecken“ Sie sie nicht in den AGBs oder in der Datenschutzerklärung, denn sie sollte davon getrennt sein. Da hier Ihre Visibilität und Angreifbarkeit hoch ist, schützen Sie sich und überprüfen Sie hier nochmals Ihre Webseite und die Einwilligungserklärung.
Wer ist für den Datenschutz in einem Unternehmen verantwortlich?
Datenschutz ist Chefsache! Als „Verantwortlicher“ gilt nach der Definition des Artikel 4 der DSGVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Dazu gehört auch sicherzustellen, dass die Mitarbeiter in Datenschutzfragen geschult werden und die IT-Sicherheit in Unternehmen durch geeignete Zugriffskonzepte und Verschlüsselungen für Ihre Hard- und Software gewährleistet ist. Das kann sehr simpel sein. Verliert ein Mitarbeiter seinen Firmenlaptop mit zahlreichen Kundendaten, schützt beispielsweise bereits ein Display-Passwort vor größeren Datenschutzproblemen.
Oft fällt im Zusammenhang mit der neuen DSGVO der Begriff Rechenschaftspflicht. Was ist darunter genau zu verstehen?
Die DSGVO verpflichtet die Verantwortlichen, Rechenschaft über ihren Umgang mit personenbezogenen Daten ablegen zu können. Wie sie das machen, steht nicht in der Verordnung. Wichtig ist, dass die Anforderungen umgesetzt werden und jemand im Zweifel „seinen Kopf dafür hinhalten“ muss. Kleine Unternehmen können diese Pflicht relativ leicht erfüllen, indem sie ein Verarbeitungsverzeichnis mit zusätzlichen Informationen erstellen. Wer in Zukunft keinerlei Dokumentation (schriftlich oder elektronisch) vorweisen kann, hat ein Problem.
Wie lange dürfen Unternehmen Daten speichern?
Es gilt der Grundsatz der Transparenz, der Datensparsamkeit und des Rechts auf Vergessenwerden. Der Vorratsdatenspeicherung setzt Artikel 5 der DSGVO klare Grenzen: personenbezogene Daten dürfen nur so lange gespeichert werden, wie man sie nachvollziehbar für den Verwendungszweck braucht. Selbstverständlich gibt es daneben etwa steuerliche Aufbewahrungspflichten von 10 Jahren, die einzuhalten sind.
Welche Rechte haben Personen künftig, um den Missbrauch ihrer Daten zu verhindern?
Grundsätzlich haben Betroffene jederzeit das Recht auf Auskunft und ihre Einwilligung zur Nutzung der Daten zu widerrufen oder einzuschränken. Personen haben weiterhin das Recht, Daten löschen (Recht auf Vergessenwerden) oder berichtigen zu lassen. Neu ist, dass Sie künftig als Verantwortlicher nach Artikel 12 DSGVO innerhalb eines Monats dafür sorgen müssen. Tuen Sie dieses nicht, kann der Betroffene sich bei der Aufsichtsbehörde beschweren und ein Bußgeld droht. Seien Sie vorbereitet!
Was empfehlen Sie als Anwältin Unternehmen?
Aufgrund der fortschreitenden Zeit empfehle ich Ihnen, mit einem Blick von Außen auf Ihr Unternehmen zu beginnen. Wo stehen Sie und wo sind Sie angreifbar? Konkret überprüfen Sie bitte Ihr Kontaktformular auf der Webseite und ob die Datenschutzerklärung die Anforderungen erfüllt? Erfüllen Sie Ihre Informationspflichten? Ist die Einwilligungserklärung leicht und verständlich in deutscher Sprache? Wo speichern Sie Ihre Daten? An wen geben Sie welche Daten weiter? Empfehlenswert zur ersten Statusanalyse ist hier der Fragebogen des Bayrischen Landesamtes für Datenschutzaufsicht.
Welche abschließenden Tipps können Sie noch geben?
Testen Sie die Auskunftserteilung an die betroffene Person in einer Art „Feuerwehrübung“. Sind Sie nicht in der Lage, die Daten schnell und vollständig zusammenzuführen, um eine vollständige Auskunft zu erteilen, kann es zu einer folgenschweren Beschwerde bei der Aufsichtsbehörde kommen.
Notieren Sie sich jeden Handlungsbedarf und wägen Sie im Rahmen einer Risikoprüfung ab, welche technischen und organisatorischen Maßnahmen Sie nach und nach abarbeiten sollten. Wer ganz sichergehen will, die Risiken zu bewältigen, setzt auf professionelle Unterstützung durch einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten.
Zur Person:
Frau Kerstin Beneke, Inhaberin von Be | Legal Anwaltskanzlei Beneke, in Düsseldorf und ist aufgrund Ihres Werdeganges Expertin sowohl für Arbeitsrecht, Personalmanagement wie auch Datenschutz und IT Security. Neben Ihrer Zulassung als Rechtsanwältin vor 15 Jahren trägt sie seit 2006 auch den Titel „Fachanwältin für Arbeitsrecht“. Frau Beneke bietet die Beratung und Unterstützung von sich gründenden oder kleinen Unternehmen in den Bereichen HR & IT Compliance an.
Kontakt:
Kerstin Beneke
Tel: 0162/2707512
Email: Kerstin.Beneke@be-legal.de
Home: www.be-legal.de
Bildquelle: https://pixabay.com/de/europa-bipr-daten-datenschutz-3256079/
Eine Antwort