Es sind nur noch sieben Monate!
Neues Datenschutzgesetz in 2018: Was Sie jetzt wissen müssen!
Es hat sich schon herumgesprochen und nun bleiben nur noch sieben Monate: Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Die neue EU-DSGVO bringt viele Änderungen im Vergleich zur bisherigen Rechtslage mit sich. Bis zu diesem Zeitpunkt müssen Unternehmen ihre IT und die Prozesse an die neuen, höheren Anforderungen anpassen.
Der europäische Gesetzgeber strebt mit der neuen Datenschutz-Grundverordnung einen einheitlichen Schutz personenbezogener Daten natürlicher Personen sowie freien Datenverkehr innerhalb des Europäischen Binnenmarkts an (Artikel 1 Absätze 2 und 3 DSGVO). Künftig unterliegen nicht nur Privatunternehmen, sondern auch öffentliche Einrichtungen den Regeln des gesetzlichen Datenschutzes. Da es eine Vielzahl von Änderungen gibt, sollten Unternehmen diese nicht auf die lange Bank schieben. Bestenfalls haben sie bereits interne Richtlinien ausgearbeitet und umgesetzt.
Die wichtigsten Änderungen im Überblick
Stärkung des Einwilligungsvorbehalts der Betroffenen
Wie auch bisher üblich müssen die Nutzer grundsätzlich zur Nutzung ihrer Daten einwilligen. Hinzu kommt die Anforderung, dass der jeweilige Zweck der Datenverarbeitung im Einzelnen konkret benannt werden muss. Gibt es mehrere Zwecke, müssen alle benannt werden. Zudem erhalten die Nutzer ein stärkeres Widerrufsrecht sowie Rücktrittsrechte aus vertraglichen Regelungen. Einwilligungen, die bis zum 25. Mai 2018 eingeholt werden, bleiben auch anschließend grundsätzlich weiterhin wirksam, soweit sie rechtmäßig eingeholt wurde. Nichtsdestotrotz sollten Sie bereits jetzt überprüfen, ob die Einholung etwaiger Einwilligungen von Kunden oder Interessenten den Vorgaben der DSGVO entsprechen, um einer späteren Diskussion über die genaue Interpretation dieses Erwägungsgrundes bereits heute entgegenzuwirken.
Möglichkeit zu Datenübertragbarkeit
Nutzer erhalten zukünftig das Recht, ihre Daten, die sie einem Anbieter zur Verfügung gestellt haben, zu einem neuen Anbieter mitzunehmen. Nutzer sollen dadurch eine bessere Kontrolle über ihre Daten erlangen und die bei einem Anbieter in einem standardisierten maschinenlesbaren Format abgespeicherte Daten leicht und ohne Behinderung auf einen anderen Anbieter übertragen können.
Datenschutz für jeden verständlich
Die Unternehmen müssen die Nutzer in klarer, verständlicher Sprache über die Verarbeitung ihrer Daten sowie ihre Rechte informieren, noch bevor die Daten gespeichert werden. Im Umkehrschluss bedeutet das, dass die Datenschutzerklärung länger und ausführlicher als bisher wird.
Recht auf Vergessenwerden
Jeder Nutzer erhält das Recht darauf, dass die verantwortliche Stelle ihr Möglichstes tun muss, um auf seinen Wunsch seine persönlichen Daten zu löschen. Und zwar nicht nur bei sich selbst, sondern auch bei allen Drittparteien, welche die Daten erhalten haben. Die betroffene Person muss bei dem verantwortlichen Websitebetreiber über die Löschung aller Daten und Kopien verlangen. Sollte es sich um öffentliche Daten handeln, die auch von Dritten genutzt und verarbeitet werden, muss eine Benachrichtigung an diese erfolgen. Besonders Suchmaschinen, wie Google oder Bing, müssen nach der neuen DSGVO über den Löschungsantrag informiert werden.
Datenschutzbeauftragte
Die Pflicht einen Datenschutzbeauftragten zu benennen betrifft Firmen in deren Haupttätigkeit Datenverarbeitungen fallen sowie große Betriebe, die sensible Daten verarbeiten. Auch wenn im Unternehmen „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“, sowie wenn eine sog. Datenschutzfolgeabschätzung erforderlich ist, ist ein Datenschutzbeauftragter zu bestellen. Dies ist gegeben, wenn die automatisierte Datenverarbeitung die Wahrscheinlichkeit eines hohen Eintrittsrisikos für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Auch wenn geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, hat die Bestellung eines Datenschutzbeauftragten zu erfolgen.
Versand von Newslettern und Nutzung von Tracking-Tools
Die Voraussetzungen zur Verwendung von persönlichen Daten werden in der EU-DSGVO neu geregelt. Eine Einwilligung in den Erhalt von Newslettern darf nicht vom Vertragsabschluss abhängig gemacht werden, sofern diese nicht erforderlich für die Erfüllung des Vertrages sind. Mit der DSGVO wird für die Verwendung der Tracking-, Analyse und Remarketing-Tools auch eine ausdrückliche Einwilligung der Nutzer erforderlich.
Verschärfte Meldepflichten bei Datenpannen
Die ab Mai 2018 geltende EU-DSGVO wird auch bei den Meldpflichten wesentliche Änderungen mit sich bringen. So wird eine Meldepflicht gegenüber der Aufsichtsbehörde für jegliche Verletzungen personenbezogener Daten eingeführt, es sei denn, diese führt „voraussichtlich nicht zu einem Risiko“ für den Betroffenen. Dies stellt eine deutliche Verschärfung der Informationspflicht nach der Datenschutzgrundverordnung im Vergleich zur Rechtslage unter dem BDSG dar. Die Meldung an die Datenschutzaufsichtsbehörde muss unverzüglich und „möglichst binnen 72 Stunden“ nach Bekanntwerden der Datenpanne erfolgen . Mit der Meldepflicht einher kommt eine umfassende Dokumentationspflicht, und zwar die der Datenschutzverletzung, deren Auswirkungen und den ergriffenen Abhilfemaßnahmen.
Hohe Strafen bei Nichtbeachtung
Auch nach dem Mai 2018 und dem Wirksamwerden der Datenschutzgrundverordnung wird vieles, was Unternehmen heute schon aus dem Bundesdatenschutz bekannt ist, bleiben. Gleichzeitig gibt es einige wichtige Themen, die durch die DSGVO neu geregelt werden und näher ins Auge gefasst werden sollte. Keinesfalls sollte die Grundverordnung außer Acht gelassen werden – durch die neuen und schärferen Sanktionsmöglichkeiten enstehen im Falle eines Verstoßes auch höhere Risiken. So kann eine Firma mit einem Bußgeld von bis zu vier Prozent des Jahresumsatzes belegt werden, sollte sie gegen die Richtlinien der EU-DSGVO verstoßen. Die maximale Geldbuße beträgt 20 Millionen Euro. Die Schwere des Verstoßes ist nach Bemessungskriterien eingeteilt und in Artikel 83 unter anderem definiert nach:
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Art und Schwere sowie Dauer des Verstoßes
- Berücksichtigung früherer Verstöße
- Kategorien personenbezogener Daten
Sorgen Sie rechtzeitig vor
Um erkennen zu können, wo sie Anpassungen an die neue Datenschutzgrundverordnung vornehmen müssen, ist in einem ersten Schritt eine Bestandsausnahme wichtig. Sobald Klarheit darüber herrscht, an welchen Stellen Optimierungsbedarf besteht, geht es an die Suche nach einer passenden Lösung. Ziel dabei sollte es sein, Daten schnell aufbereiten und effizient nutzen zu können sowie den geforderten Schutz sicherzustellen.
Der Datenschutz beginnt immer ausgehend von der Frage: Welche personenbezogene Daten habe ich im Unternehmen, wer hat Zugriff und welche Maßnahmen habe ich getroffen, damit diese Daten nicht in unbefugte Hände gelangen? Da ist der Einsatz von IT-Security-Maßnahmen wie Firewall und Virenscanner nur der Anfang.
Die besonderen Anforderungen an die Integrität von Informationen, die Revisionssicherheit, die Verfügbarkeit von Daten, deren Weitergabe- und Zugriffskontrolle werden durch ein Dokumenten-Management-System transparent und nachvollziehbar. Sie wissen, wer Zugang zu welchen Informationen hat und haben die Kontrolle über die Nutzung der Daten Ihrer Mitarbeiter, Kunden oder Geschäftspartner. Mit Drivve | DM kann der Dokumentenzugriff bis in die kleinsten Details, wenn es notwendig ist, konfiguriert werden. Sensible Informationen können sowohl unveränderbar gespeichert als auch nachträglich nachweisbar gelöscht werden. Darüber hinaus können Informationen auf Knopfdruck aufgefunden und automatisiert neutralisiert, zum Bespiel Unterschriften auf Dokumenten geschwärzt werden. Durch ein cleveres Rollenkonzept ist die Zuordnung oder das Löschen von Rechten bei Neuzugang oder Ausscheiden von Mitarbeitern in Sekundenschnelle möglich. Außerdem lassen sich mit Drivve | DM zeitlich unbegrenzte Löschsperren pro Dokument setzen. Gerade, wenn bei der Ablage von personenbezogenen Dokumenten deren Aufbewahrungsfristen noch nicht bekannt sind, lassen sie sich so auch ohne Frist vor Veränderbarkeit schützen. Die Löschsperren lassen sich dann jederzeit aufheben, etwa dann, wenn Kunden oder Mitarbeiter die Löschung verlangen.
Drivve | DM gestaltet Prozesse einfacher, schneller und besser und hilft, spürbare Einsparungsmöglichkeiten zu erzielen.
- Kostenreduzierung
- Sicherheit & Datenschutz
- Zusammenarbeit
- Produktivität
- Leistung
- Benutzerfreundlichkeit