Beiträge

Im Mai 2018 tritt die DSGVO in Kraft. Wir unterstützen Unternehmen bei der Umsetzung.

Die EU-DSGVO – Segen für Verbraucher, Herausforderung für Unternehmen

/in /von

Ab dem 25. Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DSGVO). In Kraft getreten ist sie bereits vor etwa zwei Jahren am 24. Mai 2016. Eine lange Zeit also für Unternehmen, Behörden, öffentliche Stellen und Vereine oder Verbände diese umzusetzen, müsste man meinen.

Doch wie es in der Natur des Menschen liegt, schieben wir Dinge gern auf und das ganz besonders dann, wenn wir wissen, dass wir noch viel Zeit dafür haben. Im Frühjahr 2018 sind nun viele Unternehmen spät dran und kommen bei der Umsetzung gut ins Schwitzen. Die meisten haben den Aufwand wahrscheinlich gehörig unterschätzt oder waren sich gar nicht bewusst, dass die Gesetzesänderung auch in ihren Geltungsbereich fällt.

“Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben”, sagt der deutsche Verband der Digitalwirtschaft Bitkom.

Die DSGVO ist für die Verbraucherseite eine große Errungenschaft und ein wichtiger Meilenstein für den europäischen Datenschutz. Für Unternehmen und Organisationen stellt die Umsetzung aber eine große Herausforderung dar. Einen groben Überblick über die Datenschutzgrundverordnung und die Herausforderungen für Unternehmen wollen wir in diesem Blogartikel geben.

Was sind eigentlich personenbezogene Daten nach DSGVO?

Allgemein formuliert gelten alle Informationen als personenbezogen, die sich auf “identifizierte oder identifizierbare lebende Personen” beziehen. Somit legt die EU diese Verordnung sehr weit aus. Neben Name, Anschrift und E-Mail-Adresse gelten als solche auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDS und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen. Genau das stellt für Unternehmen in der Praxis durchaus einen sehr großen Aufwand dar. Was muss also beim Umgang mit personenbezogenen Daten beachtet werden?

Die 6 Grundsätze für die Verarbeitung von personenbezogenen Daten

Grundlegend ist das Verarbeiten von personenbezogenen Daten verboten, wenn nicht eine oder mehrere der folgenden Bedingungen erfüllt sind:

  1. Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  2. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  3. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen.
  4. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  5. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
  6. Die betroffene Person hat ihre Einwilligung gegeben.

Die Einwilligung ist durch die DSGVO für Unternehmen nun kompliziert geworden. Sie ist schwerer zu bekommen, muss aufwendig belegt werden und muss jederzeit widerrufbar sein.

Worauf müssen Unternehmen jetzt achten?

Mit der Neuregelung sind also der Aufwand und die Anforderung für die Verarbeiter erheblich gestiegen. Der Umgang mit Daten ist in Zeiten der Digitalisierung so alltäglich geworden, dass man schnell übersieht, ob und wann man tatsächlich mit kritischen Informationen hantiert. Jeder, der Informationen über Personen speichert, ist nun in der Bringpflicht. Das gilt nicht nur für IT-Unternehmen, sondern bspw. auch für Ärzte, Friseure, Wäschereien und Vereine. Dabei gibt es viel zu beachten und es winken hohe Bußgelder bei Nichteinhaltung.

  • Ein erster Schritt sollte sein, einen Datenschutzbeauftragten zu benennen, wenn dieser notwendig ist. Er ist Pflicht, wenn z. B. Kunden- und Mitarbeiterdaten automatisiert, also per EDV, verarbeitet werden. Für kleinere Unternehmen macht die Verordnung Ausnahmen. Sind weniger als neun Personen damit beschäftigt, personenbezogene Daten zu verarbeiten, braucht es keinen Datenschutzbeauftragten. In Abhängigkeit von der Sensibilität der Daten, kann er aber in speziellen Fällen doch notwendig sein.

  • Vorgesehen ist auch das Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten. Hört sich hochtrabend an, ist am Ende aber nur eine einfache Tabelle, in der aufgelistet wird, welche Daten wann, wie und warum im Unternehmen erhoben werden; etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

  • Darüber hinaus muss der Weg der Daten dokumentiert werden, von der Erhebung, Speicherung bis hin zur Nutzung. Diese Prozessdokumentation und -analyse soll bei der Identifikation von Fehlerstellen und der Optimierung von Abläufen helfen. Augenmerk sollte darauf gelegt werden, wie die Daten erhoben und verarbeitet werden. Letzteres ist über die DSGVO nun neu und komplex geregelt, speziell wie und worauf Betroffene einwilligen.

Datenauskunft, Datenschutzfolgenabschätzung und weitere Anforderungen

Den Betroffenen räumt der Gesetzgeber nun alle Möglichkeiten ein, weitreichende Auskunft über ihre Daten zu erhalten und ggf. das sofortige und permanente Löschen zu veranlassen.

Werden sehr sensible Daten verarbeitet – etwa in Arztpraxen oder durch Versicherungsmakler – ist nach DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person nach Themen wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten ermöglichen – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden.

Für Unternehmen empfiehlt sich künftig das Dokumentieren aller Anstrengungen im Bereich des Datenschutzes.

  • Welche Firewall wird benutzt?
  • Welche Verträge wurden mit Dienstleistern geschlossen?
  • Welche Seminare hat der Datenschutzbeauftragte besucht?

Bei guter Dokumentation und erkennbarer Bemühung, seiner Verpflichtung nach Datenschutz nachzukommen, bestehen gute Chancen, auch im Falle eines Vergehens ohne Bußgeld davonzukommen. Entsprechende Auskünfte sollten man aber umgehend erteilen und Unterlagen lückenlos vorlegen können.

Die neuen Dokumentations-, Nachweis- und Rechenschaftspflichten, die Auskunftspflichten gegenüber Betroffenen und erst recht die Herkulesaufgabe einer DSGVO-konformen Datenschutzerklärung sollte jedes Unternehmen schnellstens in Angriff nehmen. Dazu gehört mindestens die Lektüre des Rechtstextes selbst beziehungsweise eines juristischen Ratgebers. Für die meisten Unternehmen empfiehlt sich außerdem die Hinzuziehung interner oder externer Rechtsberatung. Das Team der kreITiv unterstützt Sie gern bei der Konzeption datenschutzkonformer IT-Systeme und Softwarelösungen. Mit dem kreITiv-DSGVO-Paket passen wir Ihre Webseite rechtskomform an.

Fragen Sie uns nach einer kostenlosen Erstberatung!
Mehraufwand und Mehrwert in der Finanzbranche dank MiFID II

MiFID II – Neue Pflichten für Unternehmen ab 2018

/in /von

Am 03.01.2018 ist das Zweite Finanzmarktnovellierungsgesetz (2. FiMaNoG) in Kraft getreten. Es legt fest, welche Regeln die Finanz- und Versicherungsbranche, aber auch professionelle Callcenter künftig bei Geschäften mit Privatkunden befolgen müssen.

Schwerpunkt hierbei ist die Finanzmarktrichtlinie (Markets in Financial Instruments Directive II) – kurz MiFID II, welche MiFID I ablöst. Gleichzeitig werden damit zahlreiche nationale Vorschriften im Bereich der Finanzmarktaufsicht an neue europäische Vorgaben angepasst. Betroffen sind Banken, Vermögensverwalter und grundsätzlich alle Unternehmen, die Geschäftsabschlüsse am Telefon tätigen.

Rechtskonforme Sprachaufzeichnung – Pflicht ab 2018

Eine der neuen verpflichtenden Regeln stellt die rechtskonforme Sprachaufzeichnung dar. Jedes telefonische Beratungsgespräch, das zu einem Geschäftsabschluss führen könnte, muss beweissicher dokumentiert werden. Ein Verzicht auf diese Aufzeichnung ist nicht möglich. Die Aufbewahrungspflicht liegt bei 5, in Sonderfällen bei 7 Jahren. Im Anforderungsfall müssen diese Aufzeichnungen schnell auffindbar sein und es muss sichergestellt werden, dass die archivierten Telefonate nicht gelöscht oder manipuliert werden können.

Der Sinn: Bei Rechtsstreitigkeiten soll besser nachvollzogen werden können, ob z. B. ausreichend über Risiken eines Produktes hingewiesen wurde. Dies sehen die neuen europäischen Regeln vor.

Der Mehrwert im Mehraufwand für Unternehmen

Außer Frage steht, dass die Einführung einer solchen Richtlinie für Firmen einen Mehraufwand und Mehrkosten bedeutet. Mit gutem Grund befürchten diese einen Verlust an Flexibilität. Daneben stehen allerdings auch viele Vorteile im Raum. Die Beratungsqualität Ihrer Kunden gegenüber steigt zwangsläufig, dank neuer Transparenz und Risikominimierung.

Sie bekommen eine super Gelegenheit Ihre Kunden zum Jahresauftakt mit dieser Information zu versorgen, die Bindung zu stärken und den Cross-Selling Gedanken zu vertiefen. Und ganz nebenbei wird das Vertrauen in Ihre Beratungsleistung gestärkt, da vor Falschberatung geschützt wird.

Interne Prozesse überdenken und optimieren

Fakt ist, dass wenig Zeit für Unternehmen blieb, zu überdenken wie sich die MiFID II Einführung mit all den Regularien auf interne Prozesse und die IT auswirkt und wie es vor allem um die Kompatibilität von Kundeninformationen und Verträgen steht.

Doch gerade hier bietet MiFID II eine ideale Chance, nach der Einführung die eigenen Geschäftsprozesse auf den Prüfstand zu stellen und unter der Idee der Digitalisierung neue strategische Chancen zu entwickeln. Bei der Gestaltung alternativer Vertriebskanäle bietet sich dies geradezu an! Statt Bedenken vor dem Wegfall von Einnahmequellen oder einer Einschränkung des Geschäftsmodells zu hegen, sollten wir positiv nach vorn schauen und es als Antrieb nutzen.

kreITiv als Partner für Prozessdigitalisierung und Ihr MiFID II Projekt

Für Unternehmen, die noch keine Sprachaufzeichnung umgesetzt haben, oder mit Ihrer jetzigen Lösung unzufrieden sind, beraten wir Sie als langjähriger und erfahrener Partner der NFON AG gern zu dem Thema Virtuelle Telefonanlagen. Wir sind in der Lage, Ihr individuelles MiFID II Projekt professionell umzusetzen.

Als Spezialist in der Beratung digitaler Geschäftsprozesse, sind wir als kreITiv GmbH der ideale Partner für Ihre Anforderungen. Für Sie bedeutet das konkret, dass Sie von unserem Know-how profitieren und Ihre Wettbewerbsvorteile aufdecken und optimal nutzen können.