print logo

EU Datenschutz-Grundverordnung

Schutz von Kundendaten – Was Unternehmen künftig beachten müssen. Die EU-DSGVO gilt ab 25. Mai 2018, Unternehmen haben nur noch ein Jahr Zeit.
Holger Stelz | 14.02.2017
© Holger Stelz
 

Deutschland wird im internationalen Vergleich häufig als das Land mit den strengsten Datenschutzgesetzen bezeichnet. Grundlage für die deutschen Datenschutzvorgaben – allen voran das Bundesdatenschutzgesetz (BDSG) – ist das so genannte „Recht auf informationelle Selbstbestimmung“. Im krassen Gegensatz zu diesem Verständnis des Schutzes persönlicher Daten steht das Geschäftsgebaren vieler Betreiber von Online- und Social-Network-Plattformen, möglichst viele Daten ihrer Nutzer und Kunden zu erfassen und auszuwerten. Das Schreckgespenst von der „Datenkrake“ macht seit Jahren die Runde, und die Entscheidung des Europäischen Gerichtshofs rund um Safe Harbor und das Privacy Shield verunsichern Endkunden und Unternehmen gleichermaßen. Seit dem 14. April 2016 hat das EU-Parlament nun eine einheitliche Regelung, die sogenannte EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Sie soll die Grundlage für einen einheitlichen Datenschutz in allen 28 EU-Staaten bilden und ist Teil der bereits 2012 von der Europäischen Kommission angekündigten EU-Datenschutzreform. Neuregelung für EU-weit einheitliche Regelungen zum Datenschutz Die EU-DSGVO ersetzt die bereits aus dem Jahr 1995 stammende Datenschutzrichtlinie 95/46/EG. Im Gegensatz zu ihrer Vorgängerversion, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die EU-DSGVO ohne so genannten „Umsetzungsakt“ unmittelbar in allen EU-Mitgliedstaaten. Damit soll vermieden werden, dass die in der Verordnung festgelegten Regeln durch nationale Regelungen abgeschwächt oder aber auch verstärkt werden. Dennoch haben Dänemark und Großbritannien bereits im Vorfeld Sonderregelungen ausgehandelt, so dass dort auch nach 2018 die EU-DSGVO nur eingeschränkt gelten wird. Seit der Brexit-Entscheidung stellt sich darüber hinaus generell die Frage, wie Großbritannien nach seinem Austritt das Thema Datenschutz behandeln wird. Anwendbar ist die EU-DSGVO ab dem 25. Mai 2018, die Mitgliedsstaaten haben also nun noch anderthalb Jahre Zeit, die Anweisungen umzusetzen. Der Fokus der neuen Regelung liegt auf der Speicherung und Verarbeitung personenbezogener Daten und der Stärkung der Rechte der von dieser Speicherung betroffenen Person. Rechte von Betroffenen werden gestärkt Die Neuregelungen spielen gerade für den Bereich Kundendatenmanagement in Unternehmen eine zentrale Rolle und werden die Art und Weise, wie diese Daten in Zukunft erfasst und verarbeitet werden, maßgeblich beeinflussen. Und selbst wenn zum heutigen Zeitpunkt noch einige Fragen zur endgültigen Ausgestaltung offen sind, und im Fall der EU-DSGVO noch Zeit für die Umsetzung in die Praxis bleibt, sollten Unternehmen diese Zeit nutzen, um sich mit den neuen Vorschriften vertraut zu machen und ihre Prozesse entsprechend anzupassen. Wie sehen die neuen Vorschriften nun konkret aus? Im Vergleich zur aktuellen Rechtslage sollen vor allem die Rechte der Betroffenen grundsätzlich gestärkt und sogar ausgeweitet werden. Dem Betroffenen einer Datenverarbeitung werden dabei prinzipiell die folgenden Rechte eingeräumt: • Informationsrecht Der Betroffene muss sofort über Art, Umfang, Grund und Zweck der Datenerhebung sowie seine Rechte (Widerspruch, Beschwerde) informiert werden. • Auskunfts- und Widerspruchsrecht Der Betroffene hat darüber hinaus das Recht, sich jederzeit darüber zu informieren, welche Daten über ihn gespeichert sind. • Recht auf Berichtigung, Löschung und Einschränkung Diese Regelung basiert auf dem Grundgedanken des „Rechts auf Vergessenwerden“. Gelöscht werden müssen die Daten, wenn ihre Speicherung nicht mehr notwendig ist, der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat, die Daten unrechtmäßig verarbeitet wurden oder eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht. • Recht auf Datenübertragbarkeit Diese Regelung räumt dem Betroffenen die Befugnis ein, seine Daten von einer Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Ziel ist es, ihm so den einfacheren Wechsel von einem Anbieter zum anderen zu ermöglichen, ohne dass er den Verlust seiner Daten befürchten muss. Aus den Neuregelungen der EU-DSGVO ergeben sich damit eine Reihe von Auswirkungen auf die Art und Weise, wie Unternehmen zukünftig mit den Daten ihrer Kunden, Partner und Mitarbeiter umgehen. Verstöße können teuer werden: die wichtigsten Regelungen für Unternehmen im Überblick 1. Überwachungsaufgabe für betriebliche Datenschutzbeauftragte Die im Unternehmen eingesetzten betrieblichen Datenschutzbeauftragten erhalten zusätzlich zu ihren bisherigen Aufgaben – Sicherstellung und Hinwirkung beim Datenschutz – nun auch den Überwachungsauftrag, dass im Unternehmen alle Vorgaben und Regelungen zum Datenschutz auch eingehalten werden. Folge: Unternehmer und Datenschutzbeauftragter haften zukünftig persönlich bei Verstößen. 2. Meldepflicht bei Verstößen Verletzungen des Schutzes personenbezogener Daten müssen zukünftig an die Aufsichtsbehörde gemeldet werden. Als Frist wird in der EU-DSGVO folgender Wortlaut festgelegt: „unverzüglich und ohne unangemessene Verzögerung“. Dies bedeutet in der Regel binnen 72 Stunden, nachdem der Vorfall bekannt wurde. 3. Nachweispflicht für Datenschutzrichtlinien und entsprechende Schulung der Mitarbeiter. Die Einführung von Datenschutzrichtlinien und Unterrichtung der Mitarbeiter ist schon jetzt vorgeschrieben. Neu ist eine verbindliche Nachweispflicht dieser Maßnahmen. Bei Verstößen drohen hier Bußgelder in empfindlicher Höhe. 4. Pflicht zur Datenschutz-Folgeabschätzung Sieht ein Unternehmen bei der Datenverarbeitung die Gefahr, dass diese Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen. 5. Auftragsdatenverarbeitung wird zur Regel Die Abgrenzung zwischen Funktionsübertragung und Auftragsdatenverordnung wird zukünftig entfallen. Die Arbeit eines externen Dienstleisters wird nach der neuen Verordnung in der Regel als Auftragsdatenverarbeitung eingestuft werden. 6. Weltweiter Geltungsbereich Die Datenschutzgrundverordnung gilt nicht nur für Unternehmen in den 28 Mitgliedstaaten der EU, sondern auch für Unternehmen außerhalb der EU, wenn sie Daten von EU-Bürgern verarbeiten. 7. Bußgelder Unternehmen, die gegen die neuen Vorgaben verstoßen, müssen in Zukunft mit empfindlichen Geldbußen rechnen. Diese können bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Da der Bußgeldkatalog bindend ist, besteht für die Aufsichtsbehörden kein Ermessensspielraum. Datenschutz und Kundendatenmanagement: Auswirkungen der neuen Regelungen Für Unternehmen kritische Neuerungen sind in diesem Zusammenhang sicherlich: • die persönliche Haftung von Geschäftsleitung und Datenschutzbeauftragten, was drastische persönliche und finanzielle Folgen nach sich ziehen kann • die Meldepflicht bei Verstößen innerhalb kurzer Zeit, was einen umfassenden Überblick über die gesamten Kundenstammdaten und eine schnelle Reaktionsfähigkeit erfordert • die empfindlichen Bußgelder, die dafür sorgen werden, dass Datenschutz nicht länger als „nice to have“ angesehen wird, sondern als wichtiger durchgängiger und nachhaltiger Prozess, bei dessen Scheitern unter Umständen sogar der Fortbestand des Unternehmens gefährdet sein kann. Auf jeden Fall sollten sich Unternehmen schon heute mit der Frage auseinandersetzen, wie sie sich einen 360-Grad-Blick über ihre Kunden verschaffen können, der sie in die Lage versetzt, umgehend festzustellen, welche Daten wann wo von wem und wozu erfasst, weiterverarbeitet und analysiert werden, um dies a) dem Betroffenen auf Anfrage mitteilen zu können, b) seine Daten vollumfänglich löschen zu können und c) an einen anderen Anbieter zu transferieren. Ohne eine einheitliche Sicht auf die Daten können Unternehmen im Prinzip die Anforderungen der sich durchaus häufig ändernden Datenschutzregelungen kaum erfüllen. Sind Daten erst umständlich zusammenzusuchen, besteht immer die Gefahr, dass nicht alle Daten einbezogen werden – was wiederum unangenehme und vor allem kostspielige Konsequenzen nach sich ziehen kann. Weitere Informationen unter www.uniserv.com Bild: fotolia / adrian_ilie825