Zehn Punkte für den Einstieg in die DSGVO

Zehn Punkte für den Einstieg in die DSGVO

Bereiten Sie sich jetzt auf die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) vor. Hier sind zehn Punkte, die ihnen beim Einstieg helfen. Die Datenschutz-Grundverordnung der EU wird viele Unternehmen in Europa betreffen. Sind Sie bereit für die Änderungen?

Die Datenschutz-Grundverordnung der EU wird viele Unternehmen in Europa betreffen. Sind Sie bereit für die Änderungen?

Im Mai 2016 hat die EU eine Datenschutz-Grundverordnung erlassen. Sobald die neuen Vorschriften nach einer zweijährigen Übergangsphase am 25.05.2018 in Kraft treten, bringen sie neue operative Anforderungen für Unternehmen beim Umgang mit personenbezogenen Daten mit sich.

Da die Definition von „personenbezogenen Daten" weitgefasst ist, werden fast alle Unternehmen in ihren Geltungsbereich fallen. Wir haben zehn Punkte zusammengetragen, die Ihnen beim Einstieg helfen werden.

Zeigen Sie, dass Sie die Vorschriften befolgen

Die neue Verordnung verlangt, dass Unternehmen, die personenbezogene Daten verwalten, in der Lage sind, nachzuweisen, dass sie mit personenbezogenen Daten auf die erforderliche Weise umgehen.

In der Praxis bedeutet das, dass Sie einen Nachweis der Datenverarbeitungsvorgänge, für die Sie verantwortlich sind, führen müssen, um belegen zu können, dass Sie den Vorschriften entsprechen.

Stellen Sie sicher, dass Sie die Zustimmung haben (Marketing)

Wenn die Handhabung personenbezogener Daten auf der Zustimmung einer Person basiert, müssen Sie nachweisen können, dass Ihnen diese Zustimmung erteilt worden ist.

Darüber hinaus werden die Anforderungen für die Zustimmung in der Zukunft strenger werden:

Die Zustimmung muss eindeutig in einer schriftlichen, elektronischen oder gesprochenen Erklärung erteilt werden. Die Zustimmung muss zeigen, dass die Person freiwillig, individualisiert, bewusst und ausdrücklich den Wunsch geäußert hat, dass sie der Verwendung ihrer persönlichen Daten zustimmt. Normalerweise geschieht das durch Anklicken eines Kästchens zur Erteilung der Zustimmung.

Durchsetzung des Rechts auf Vergessenwerden

Ein neues Thema, das mit der Verordnung eingeführt werden wird, ist das Recht der registrierten Person, vergessen zu werden. In der Praxis bezeichnet das das Recht, dass ihre Daten aus Ihren Datenbanken gelöscht werden.

Diese Art von Situation kann eintreten, wenn die Person die Zustimmung, die sie Ihnen bereits für die Nutzung ihrer persönlichen Daten erteilt hat, zurückzieht. Wenn die Verwendung der personenbezogenen Daten jedoch auf rechtlicher Grundlage erfolgt, besteht keine Verpflichtung zur Löschung der Daten.

Wenn Sie verpflichtet sind, die Daten zu löschen, müssen Sie alle Unternehmen, die die Daten erhalten oder veröffentlicht haben, informieren. Dadurch wird gewährleistet, dass alle Links, Duplikate und Kopien im Zusammenhang mit dem Material gelöscht werden.

Durchsetzung des Rechts auf Datenbewegung

Gegenwärtig hat jeder das Recht, seine eigenen Daten in einem maschinenlesbaren Format zu erhalten und sie an einen anderen zu übermitteln, der seine Daten verwaltet/gespeichert hat.

Dieses Recht gilt auch für personenbezogene Daten, die eine Person durch ihre Zustimmung oder eine Vereinbarung geliefert hat. Diese Verpflichtung verpflichtet Sie jedoch nicht, die Datenverarbeitungssysteme, die technisch kompatibel sind, zu genehmigen oder beizubehalten.

Verbot der Profilerstellung kann Sie betreffen

Jeder hat das Recht, nicht Gegenstand einer Entscheidung zu werden, die auf automatischer Datenverarbeitung basiert und die sich gerichtlich oder anderweitig maßgebend auf Sie auswirken würde. In anderen Worten bedeutet das, dass Sie keine wichtige Entscheidung treffen können, die sich basierend auf einem automatischen Datenprozess auf eine Person auswirkt.

Eine Ausnahme zu diesem „Profilerstellungsverbot" wäre, wenn die Entscheidung für die Abwicklung eines Vertrags zwischen einer Person und Ihrem Unternehmen erforderlich ist. Sie müssen sicherstellen, dass Ihre Profilerstellungs- und Entscheidungsmodelle dem Gesetz entsprechen und dass jegliche erforderlichen Änderungen vorgenommen werden.

Ein gängiges Beispiel für eine Ausnahmeregelung für das Profilerstellungsverbot wäre das Treffen von Kreditentscheidungen. Diese Entscheidungen basieren oft auf automatisierten Klassifizierungssystemen und Entscheidungsempfehlungen.

Informierung über Datensicherheitsverstöße

Zukünftig werden Sie verpflichtet sein, die Behörden und registrierten Personen über jeglichen Datensicherheitsverstöße zu informieren. Dies beinhaltet Situationen, in denen jegliche Rechte und Freiheiten einer Einzelperson verletzt werden. Sollten diese Situationen auftreten, gibt es einige Tätigkeiten, die Sie ausführen müssen:

Sie müssen die Behörden innerhalb von 72 Stunden nach dem Verstoß informieren. Sie müssen alle vom Verstoß betroffenen Personen informieren, sobald der Sicherheitsverstoß ein erhebliches Risiko für ihre Rechte und Freiheiten darstellt.

Um diese Verpflichtungen zu erfüllen, ist es wichtig, dass Sie interne Anweisungen und Verfahren erstellen, um einen effizienten und korrekten Prozess zu gewährleisten.

Informierung über Ihre Datenverarbeitung

Unternehmen weltweit sammeln jetzt mehr personenbezogene Daten als je zuvor. Um die EU-Verordnung in Zukunft zu erfüllen, müssen Sie im Vergleich zu früheren Anforderungen mehr Informationen über die Datenverarbeitung liefern.

Das bedeutet für Sie, dass Sie die Speicherzeit für personenbezogene Daten angeben müssen. Wenn das aber nicht möglich ist, müssen Sie über die Kriterien informieren, die zur Festlegung der Speicherzeit verwendet werden.

In der Praxis bedeutet das beispielsweise die Aktualisierung der Verzeichnisse und der Datensicherheitsdokumente sowie die Überlegung, wie die registrierten Personen in der Praxis informiert werden.

Die Aufgabe des neuen Datenschutzbeauftragten

Mit zunehmendem Fokus auf Datenschutz müssen Sie möglicherweise einen Datenschutzbeauftragen ernennen, um personenbezogene Daten zu handhaben. Organisationen, die beispielsweise einen Datenschutzbeauftragten benötigen, sind Unternehmen, bei denen es eine umfangreiche, regelmäßige und systematische Überwachung von Personen gibt oder ihre Kernaktivitäten aus dieser Überwachung bestehen. Vor diesem Hintergrund empfehlen wir Ihnen zu beurteilen, ob die Anforderung für einen Datenschutzbeauftragten für Sie zutrifft oder nicht.

Die Auslagerung der Handhabung personenbezogener Daten erfordert Schutzmaßnahmen von Ihnen

Wenn Sie irgendeinen Teil des Datenprozesses an ein anderes Unternehmen ausgelagert haben und dieses Unternehmen personenbezogene Daten in Ihrem Auftrag handhabt, gibt es einige Dinge, die Sie beachten müssen:

Sie müssen sicherstellen, dass ausreichende technische und organisatorische Schutzmaßnahmen vorhanden sind, die die Anforderungen der Vorschriften erfüllen. Sie müssen gewährleisten, dass die Rechte der registrierten Personen geschützt werden.

In der Praxis bedeutet das, dass Sie die Situationen identifizieren, in denen die Auslagerung angebracht ist, und gewährleisten, dass alle Verträge korrekt geschlossen werden. Die Speicherung von Daten in Cloud-Services, zum Beispiel, wird als Auslagerung erachtet, selbst wenn der Dienstleistungsanbieter die Daten nicht aktiv verarbeitet.

Verstöße können zu hohen Geldstrafen führen

Es ist auch wichtig zu wissen, dass Sie, zusätzlich zu einer Verwarnung, eine hohe Geldstrafe für die Verletzung der Datenschutzverordnung erhalten können. Die Geldstrafe kann sich auf bis zu maximal EUR 20 Millionen oder 4 Prozent des Gesamtumsatzes Ihres Unternehmens belaufen.