Deutsche Gesellschaft für Management und Controlling in der Sozialwirtschaft e.V.
Lesen

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO)...

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) – Anforderungen und Konsequenzen

Die EU bietet für international tätige Unternehmen viele Vorteile, manchmal aber auch umfangreiche Pflichten. Die am 24.05.2016 in kraft getretene Datenschutz-Grundverordnung der EU (EU-DSGVO) gehört aus Sicht der Unternehmen zunächst in letztere Kategorie, da geprüft werden muss, ob die Anforderungen schon erfüllt sind bzw. umgesetzt werden müssen.

Die DSGVO regelt und vereinheitlicht EU-weit die Verarbeitung von personenbezogene Daten durch private Unternehmen und öffentliche Stellen. Dadurch soll sowohl der Schutz personenbezogener Daten von natürlichen Personen, die sich innerhalb der EU befinden, sichergestellt und gleichzeitig der freie Datenverkehr innerhalb der EU gewährleistet werden. Die Verordnung ist ab 25.05.2018 in allen EU-Mitgliedsstaaten anzuwenden und wird die EU-Datenschutzrichtlinie 95/46/EG von 1995 ablösen. Bis dahin haben die nationalen Gesetzgeber die Aufgabe, die Verordnung in nationales Recht umzusetzen und Regelungen für in der Verordnung vorhandene Öffnungsklauseln festzulegen.

Nun gibt es in Deutschland bereits umfangreiche Regelungen zum Datenschutz, die nicht von allen Unternehmen mit der gleichen Intensität umgesetzt werden und eine „lockere“ Auslegung nicht immer zu Konsequenzen führt. Mancher könnte daher hoffen, dass man auch diese neue Verordnung einfach „aussitzen“ kann. Diese Strategie ist angesichts der möglichen Strafen für Verstöße allerdings wenig zielführend. Die in Art. 83 DSGVO verhängten Geldbußen können abhängig von Art, Schwere und Dauer des Verstoßes bis zu 20.000.000 EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes der gesamten Unternehmensgruppe betragen. Es lohnt sich also, sich frühzeitig mit den Anforderungen der EU-DSGVO zu beschäftigen.

1       Wer ist betroffen?

Geschützt werden sollen die Daten natürlicher Personen, der BürgerInnen der EU. Es geht nicht um Kontaktinformationen von Unternehmen (juristischen Personen). Die EU-DSGVO bedeutet eine Stärkung der Rechte der EU-BürgerInnen auch gegenüber Unternehmen, die ihren Firmensitz außerhalb des räumlichen Geltungsbereichs der EU-DSGVO haben, da nicht der Firmensitz ausschlaggebend ist, sondern die Verarbeitung von Informationen über Menschen, die sich innerhalb der EU befinden – ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts.

Für Unternehmen ist es wichtig, dass es nicht nur um die Daten von Geschäftspartnern, sondern auch von Mitarbeitern geht. Da bei Mitarbeitern das „berechtigte Interesse“ leicht erkennbar ist, kommt es hier zu geringeren Auswirkungen.

2       Was sind die Kernpunkte der EU-DSGVO?

Die Verarbeitung von personenbezogenen Daten ist nach Art. 6 DSGVO nur zulässig, wenn eine – später nachweisbare – Einwilligung der betroffenen Person vorliegt oder eine in dieser Vorschrift festgelegte Ausnahme gegeben ist. Ausnahmen sind z.B. die Verarbeitung für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung, aber auch für die Wahrnehmung von Aufgaben im öffentlichen Interesse.

Die Verarbeitung von besonders sensibler Daten, aus denen die rassische und ethische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen oder biometrischen Daten zur eindeutigen Identifizierung, Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO) – es sei denn es liegen bestimmte ausdrücklich geregelte Ausnahmen vor (Art. 9 Abs. 2 DSGVO).

Weiterhin müssen die Daten in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden, dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckgebundenheit), sollen auf das notwendige Maß beschränkt sein (Datenminimierung), müssen sachlich richtig sein und benötigen einen angemessenen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust.

In Kapitel III der Verordnung werden Rechte der EU-BürgerInnen geregelt:
– Transparente Information, Kommunikation und Modalitäten (Art. 12)
– Informationsrecht bei Erhebung der Daten (Art. 13) bzw. Herkunft der Daten (Art. 14)
– Auskunftsrecht (Art. 15)
– Recht auf sachliche Richtigkeit und Berichtigung (Art. 16)
– Recht auf Löschung der Daten bzw. „Recht auf „Vergessenwerden“ (Art. 17)
– Recht auf Einschränkung der Verarbeitung (Art 18)
– proaktives Benachrichtigungsrecht bei Löschung oder Einschränkung (Art. 19)
– Recht auf Datenübertragbarkeit (Art. 20)
– Widerspruchsrecht (Art. 21)
– Informationsrecht bei Datenverlust oder Verletzung des Schutzes der Daten (Art. 34)

3       Wie bereiten Sie sich auf die Erfüllung der Anforderungen der EU-DSGVO vor?

Wie immer steht am Anfang der unvermeidliche Blick auf Ihre Istsituation im Unternehmen. Je nachdem, welche Datenschutzprozesse Sie bereits implementiert haben, ist Ihr Aufwand jetzt kleiner oder größer. Wenn Sie ganz am Anfang stehen, ist die Erstellung einer Prozesslandkarte mit den dazugehörigen Datenströmen (unter Angabe von Quellen, Verarbeiter, systemtechnischer Datenaustausch etc.) ein guter Überblick.

Auf dieser Basis lassen sich die Risiken der Verarbeitungsvorgänge abschätzen. Wenn sich ein voraussichtlich hohes Risiko ergibt, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Sie dient zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer Daten. In Art. 35 Abs. 3 sind einige Faktoren wie z.B. das Profiling genannt. Die Datenschutzaufsichtsbehörden wollen zur weiteren Orientierung eine nicht-abschließende Liste mit Verarbeitungstätigkeiten veröffentlichen, bei denen eine DSFA durchzuführen ist.

Unternehmen mit mehr als 250 Mitarbeitern benötigen ein schriftliches oder elektronisches Verzeichnis von Verarbeitungstätigkeiten (Art. 30). Auch kleinere Firmen sind hiervon betroffen, wenn sie z.B. mit Scoring, Überwachungsmaßnahmen oder sensiblen Daten wie Gesundheitsdaten beschäftigt sind. Das Verzeichnis ist bereits im Bundesdatenschutzgesetz (BDSG) als „Übersicht“ verankert und ist daher nicht wirklich neu. Neu sind allerdings das Entfallen der Meldepflicht und öffentliche Bereitstellung.

Denken Sie daran, Ihre AGBs, Datenschutzhinweise, alle rechtliche relevanten Dokumente, vorhandene Formulare etc. zu überprüfen und ggf. anzupassen. Für Unternehmen aus dem Bereich eCommerce stehen beispielsweise sehr wahrscheinlich die Widerrufsformulare auf dem Prüfstand. Die EU-DSGVO verlangt, dass der Widerruf genauso einfach erfolgen muss wie die Einwilligung.
Holen Sie frühzeitig fehlende bzw. nicht-konforme Einwilligungen ein. Für den Versand von Newslettern bietet sich das Double-Opt-In-Verfahren mit systemtechnischer Protokollierung an. Vergessen Sie nicht, den Empfängern bei jeder Aktion eine Opt-Out-Lösung anzubieten.

Wichtig ist auch, dass Sie in Ihrem Unternehmen die Strukturen für die Auskunftserteilung (z.B. eine zentrale Stelle, Ansprechpartner) schaffen. Wendet sich ein Betroffener an Sie und will wissen, welche Daten Sie von ihm gespeichert haben, muss die Auskunft unverzüglich, spätestens innerhalb eines Monats verfolgen. Diese Frist darf nur in begründeten Ausnahmefälle und mit Information an den Betroffenen überschritten werden.

Sie arbeiten mit Auftragsverarbeiter zusammen? In diesem Fall müssen Sie sich als Auftraggeber davon überzeugen, dass der Auftragsdatenverarbeiters die Standards und Prozesse der DSGVO einhält. Für Auftragsdatenverarbeiter bieten sich die in der Verordnung aufgeführten Instrumente der Zertifizierung (Art. 42, 43) bzw. der Verhaltensregeln (Art. 40, 41) als Wettbewerbsvorteile an.

4       Welche Auswirkungen gibt es auf Business Intelligence-Anwendungen?

Spontan kommt bei der bisherigen Lektüre der Anforderungen leicht der Gedanke auf, ob Business Intelligence Anwendungen oder Big Data Analysen mit der neuen EU-DSGVO überhaupt noch möglich sind. – Ja, es ist möglich!
Wichtig sind zunächst, dass nicht wahllos alle Daten gesammelt werden (Datenminimierung) und die Verarbeitung und Speicherung zweckgebunden sein muss. Weiterhin dürfen nur die für die Verarbeitung erforderlichen Daten verwendet werden. Der Zugriff auf die Daten muss bestmöglichst geschützt sein. Hier kann es sinnvoll sein, einen kritischen Blick auf bisherige Berechtigungskonzepte zu werfen und diese bei Bedarf zu aktualisieren.

Sie versenden heute personalisierte Werbung an Ihre Kunden aufgrund des bisherigen Einkaufverhaltens? Für das „Profiling“ (gemäß Defintion in Art. 4: Analyse von natürlichen Personen über z.B. persönliche Vorlieben, Interessen, Verhalten, Aufenthaltsort, wirtschaftliche Lage) klärt Art. 22 die Zulässigkeit. Wieder ist eine gute Information bei der Einholung der Einwilligung wichtig – zusammen mit der Möglichkeit eines jederzeitigen Widerrufs. Bei Verwendung von Profiling sind Sie zu einer Datenschutz-Folgenabschätzung verpflichtet.

Die Verordnung erwartet von den Unternehmen, dass diese unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Eintrittswahrscheinlichkeiten und Schwere der Risiken, die die Verarbeitung der Daten für die Betroffenen mit sich bringt, geeignete technische und organisatorische Maßnahmen getroffen werden. Gerade bei Big Data Analysen sollten Sie daher möglichst mit Verschlüsselung, Anonymisierung oder Pseudonymisierung der Daten arbeiten.

Zusammenfassend läßt sich sagen, dass eine gute, umfangreiche Dokumentation und zentrale Datenhaltung die Schlüssel zur Erfüllung der neuen Anforderungen sind. Die Dokumentation muss beinhalten auf welcher Grundlage (bestehendes Vertragsverhältnis, erteilte Einwilligung, etc.) und zu welchem Zweck die Daten gespeichert werden, sowie die Herkunft der Daten und die damit verbundene Speicherfrist. Hier sind IT-Systeme gefragt, die es ermöglichen, diese Informationen direkt bei den personenbezogenen Daten zu erfassen. Nur so sind Sie jederzeit kurzfristig auskunftsfähig.

5       Wie können Sie schnellstmöglichst starten?

Mit unserem Workshop lernen Sie die Anforderungen der EU-DSGVO kennen und können die für Sie notwendigen Schritte definieren. Der Workshop findet an zweimal halbtags in Ihrem Unternehmen statt, so dass Sie alle betroffenen Mitarbeiter einbinden können.

Ziel des Workshops ist ein gemeinsam erstellter Zeitplan mit Aufgaben und Verantwortlichen, mit dem Sie sich bis zum 25. Mai 2018 fit für die neue EU-DSGVO machen können.
Sie erhalten den Workshop zum Pauschalpreis von 1.090 € zuzüglich MwSt.

6       Wie kontaktieren Sie uns?

Sie erreichen uns auf folgenden Wegen:
Adresse:          PROGNIS GmbH, Furtenbachstraße 22, 90453 Nürnberg
Telefon:          0911 / 46 10 255
Fax:              0911 / 46 10 252
eMail:            bettina.burmann@prognis.com

Homepage:      www.prognis.com

Xing:               https://www.xing.com/profile/Bettina_Burmann
LinkedIn          https://www.linkedin.com/in/bettinaburmann/
Twitter:           @BettinaBurmann

Der vollständige Artikel steht Ihnen hier kostenfrei zu Verfügung.