Die EU-Datenschutz-Grundverordnung, die am 25. Mai 2018 nach einer 24-monatigen Übergangsfrist nun ihre Anwendung findet, hält für Unternehmen in Bezug auf den Umgang mit personenbezogenen Daten einige Neuerungen bereit. Das Wichtigste, was Sie hierzu wissen sollten, erläutert der folgende Artikel.
Zu den personenbezogenen Daten gehören all jene Informationen, mit denen eine natürliche Person identifiziert werden kann. Das sind zum Beispiel der Name, die E-Mail-Adresse oder auch ein Foto. Als besonders schützenswert gelten hierbei die ethnische Herkunft, die politische Einstellung, die religiöse Zugehörigkeit, die sexuelle Orientierung sowie der Gesundheitszustand. Diese Angaben werden daher als „sensible Daten“ bezeichnet.
Einwilligung und Betroffenenrechte
Bevor ein Unternehmen die persönlichen Informationen eines Nutzers verarbeiten darf, benötigt es dessen Einverständnis. Damit dieses rechtsgültig ist, muss es jedoch freiwillig sowie aktiv mittels des sogenannten Opt-in-Verfahrens, zum Beispiel durch das Anklicken eines entsprechenden Kontrollkästchens, erteilt werden. Im Zuge dessen unterliegt der Betrieb der Informationspflicht, sodass der Betroffene über all seine bestehenden Rechte belehrt werden muss. Dazu gehören das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und schließlich das Widerspruchsrecht.
Für die Datenerhebung zu verschiedenen Zwecken gilt, dass jeweils eine gesonderte Einwilligung des Nutzers notwendig ist. Umgekehrt hat dieser auch die Möglichkeit, jeder Datenverarbeitung separat zu widersprechen.
Die DSGVO – wenige Themen verunsichern Unternehmen jeder Größe mehr, als dieses Thema es tut – mit den richtigen Partnern und dem gewissen Know-How sorgt DeSight Studio dafür, dass Unternehmer nachts wieder schlafen können.
Neue Nachweispflichten
Besonders wichtig für Unternehmen sind die neuen Rechenschaftspflichten, welche die DSGVO vorschreibt. So müssen Firmen zu jedem Zeitpunkt in der Lage sein, die Einhaltung der Datenschutzbestimmungen nachzuweisen. Die erhobenen Daten dürfen etwa nur für eine bestimmte Zeit gespeichert und ausschließlich für den ursprünglich angedachten Zweck verarbeitet werden. Die jeweiligen Einwilligungserklärungen der Nutzer müssen bei einer Überprüfung ebenfalls der zuständigen Aufsichtsbehörde offengelegt werden. Um eine detaillierte und nachvollziehbare Dokumentation der Verarbeitungsvorgänge vorweisen zu können, wird in der Regel ein Datenschutz-Managementsystem (DSMS) notwendig, da die Maßnahmen zur Wahrung der Sicherheit stets an den aktuellen Stand der Technik angepasst werden müssen.
Risikoanalyse mit Datenschutz-Folgenabschätzung
In Zusammenhang mit der Datensicherheit fordert die DSGVO zudem eine regelmäßige Risikobewertung, um etwaige Datenschutzpannen frühzeitig zu erkennen beziehungsweise diese bestenfalls zu vermeiden. Werden dabei mindestens zwei Gefährdungen ausfindig gemacht, ist das Anfertigen einer Datenschutz-Folgenabschätzung (DSFA) verpflichtend. Darin müssen die Verarbeitungstätigkeit der jeweiligen persönlichen Informationen genannt sowie deren Notwendigkeit und Angemessenheit bewertet werden. Anschließend bedarf es der Darstellung der technischen, organisatorischen und rechtlichen Maßnahmen, welche ergriffen werden, um dem jeweiligen Risiko beziehungsweise dessen Eintrittswahrscheinlichkeit entgegenzuwirken.
Der Berufsverband der Rechtsjournalisten e.V. hat für Sie ein kostenfreies eBook mit weiteren Neuerungen, welche die DSGVO sowohl für Verbraucher als auch für Unternehmen mit sich bringt, bereitgestellt.
Berufsverband der Rechtsjournalisten e.V.
Dieser Gastbeitrag wurde vom Berufsverband der Rechtsjournalisten e.V. erstellt und durch die DeSight Studio GmbH veröffentlicht. Der BvDR e.V. ist der Zusammenschluss von Rechtsjournalisten und Rechtsanwälten aus ganz Deutschland, die Rechtsbeiträge zu verschiedensten Themen auf den Portalen anwalt.org, scheidung.org, abmahnung.org und rechtsanwaltfachangestellte.org veröffentlichen.