Im Mai 2018 tritt die DSGVO in Kraft. Wir unterstützen Unternehmen bei der Umsetzung.

Die EU-DSGVO – Segen für Verbraucher, Herausforderung für Unternehmen

Ab dem 25. Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DSGVO). In Kraft getreten ist sie bereits vor etwa zwei Jahren am 24. Mai 2016. Eine lange Zeit also für Unternehmen, Behörden, öffentliche Stellen und Vereine oder Verbände diese umzusetzen, müsste man meinen.

Doch wie es in der Natur des Menschen liegt, schieben wir Dinge gern auf und das ganz besonders dann, wenn wir wissen, dass wir noch viel Zeit dafür haben. Im Frühjahr 2018 sind nun viele Unternehmen spät dran und kommen bei der Umsetzung gut ins Schwitzen. Die meisten haben den Aufwand wahrscheinlich gehörig unterschätzt oder waren sich gar nicht bewusst, dass die Gesetzesänderung auch in ihren Geltungsbereich fällt.

“Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben”, sagt der deutsche Verband der Digitalwirtschaft Bitkom.

Die DSGVO ist für die Verbraucherseite eine große Errungenschaft und ein wichtiger Meilenstein für den europäischen Datenschutz. Für Unternehmen und Organisationen stellt die Umsetzung aber eine große Herausforderung dar. Einen groben Überblick über die Datenschutzgrundverordnung und die Herausforderungen für Unternehmen wollen wir in diesem Blogartikel geben.

Was sind eigentlich personenbezogene Daten nach DSGVO?

Allgemein formuliert gelten alle Informationen als personenbezogen, die sich auf “identifizierte oder identifizierbare lebende Personen” beziehen. Somit legt die EU diese Verordnung sehr weit aus. Neben Name, Anschrift und E-Mail-Adresse gelten als solche auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDS und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen. Genau das stellt für Unternehmen in der Praxis durchaus einen sehr großen Aufwand dar. Was muss also beim Umgang mit personenbezogenen Daten beachtet werden?

Die 6 Grundsätze für die Verarbeitung von personenbezogenen Daten

Grundlegend ist das Verarbeiten von personenbezogenen Daten verboten, wenn nicht eine oder mehrere der folgenden Bedingungen erfüllt sind:

  1. Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  2. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  3. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen.
  4. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  5. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
  6. Die betroffene Person hat ihre Einwilligung gegeben.

Die Einwilligung ist durch die DSGVO für Unternehmen nun kompliziert geworden. Sie ist schwerer zu bekommen, muss aufwendig belegt werden und muss jederzeit widerrufbar sein.

Worauf müssen Unternehmen jetzt achten?

Mit der Neuregelung sind also der Aufwand und die Anforderung für die Verarbeiter erheblich gestiegen. Der Umgang mit Daten ist in Zeiten der Digitalisierung so alltäglich geworden, dass man schnell übersieht, ob und wann man tatsächlich mit kritischen Informationen hantiert. Jeder, der Informationen über Personen speichert, ist nun in der Bringpflicht. Das gilt nicht nur für IT-Unternehmen, sondern bspw. auch für Ärzte, Friseure, Wäschereien und Vereine. Dabei gibt es viel zu beachten und es winken hohe Bußgelder bei Nichteinhaltung.

  • Ein erster Schritt sollte sein, einen Datenschutzbeauftragten zu benennen, wenn dieser notwendig ist. Er ist Pflicht, wenn z. B. Kunden- und Mitarbeiterdaten automatisiert, also per EDV, verarbeitet werden. Für kleinere Unternehmen macht die Verordnung Ausnahmen. Sind weniger als neun Personen damit beschäftigt, personenbezogene Daten zu verarbeiten, braucht es keinen Datenschutzbeauftragten. In Abhängigkeit von der Sensibilität der Daten, kann er aber in speziellen Fällen doch notwendig sein.

  • Vorgesehen ist auch das Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten. Hört sich hochtrabend an, ist am Ende aber nur eine einfache Tabelle, in der aufgelistet wird, welche Daten wann, wie und warum im Unternehmen erhoben werden; etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

  • Darüber hinaus muss der Weg der Daten dokumentiert werden, von der Erhebung, Speicherung bis hin zur Nutzung. Diese Prozessdokumentation und -analyse soll bei der Identifikation von Fehlerstellen und der Optimierung von Abläufen helfen. Augenmerk sollte darauf gelegt werden, wie die Daten erhoben und verarbeitet werden. Letzteres ist über die DSGVO nun neu und komplex geregelt, speziell wie und worauf Betroffene einwilligen.

Datenauskunft, Datenschutzfolgenabschätzung und weitere Anforderungen

Den Betroffenen räumt der Gesetzgeber nun alle Möglichkeiten ein, weitreichende Auskunft über ihre Daten zu erhalten und ggf. das sofortige und permanente Löschen zu veranlassen.

Werden sehr sensible Daten verarbeitet – etwa in Arztpraxen oder durch Versicherungsmakler – ist nach DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person nach Themen wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten ermöglichen – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden.

Für Unternehmen empfiehlt sich künftig das Dokumentieren aller Anstrengungen im Bereich des Datenschutzes.

  • Welche Firewall wird benutzt?
  • Welche Verträge wurden mit Dienstleistern geschlossen?
  • Welche Seminare hat der Datenschutzbeauftragte besucht?

Bei guter Dokumentation und erkennbarer Bemühung, seiner Verpflichtung nach Datenschutz nachzukommen, bestehen gute Chancen, auch im Falle eines Vergehens ohne Bußgeld davonzukommen. Entsprechende Auskünfte sollten man aber umgehend erteilen und Unterlagen lückenlos vorlegen können.

Die neuen Dokumentations-, Nachweis- und Rechenschaftspflichten, die Auskunftspflichten gegenüber Betroffenen und erst recht die Herkulesaufgabe einer DSGVO-konformen Datenschutzerklärung sollte jedes Unternehmen schnellstens in Angriff nehmen. Dazu gehört mindestens die Lektüre des Rechtstextes selbst beziehungsweise eines juristischen Ratgebers. Für die meisten Unternehmen empfiehlt sich außerdem die Hinzuziehung interner oder externer Rechtsberatung. Das Team der kreITiv unterstützt Sie gern bei der Konzeption datenschutzkonformer IT-Systeme und Softwarelösungen.