HINTERGRUND ZUR EU-DSGVO
am 25.Mai 2018 trat die neue EU-Datenschutzgrundverordnung (EU DS-GVO) ergänzend zum BDSG (neu) in Kraft. Sie stellt damit eine Veränderung gegenüber den bisherigen, nationalen Datenschutzregelungen dar. Neben einigen inhaltlichen Neuerungen, sind insbesondere die Konsequenzen der Nichtbeachtung deutlich verschärft worden, die bis zu 4 % des weltweiten Umsatzes betragen können. Aber auch die bei Neuerungen übliche Abmahnindustrie muss als zusätzliche Risikoposition in Betracht gezogen werden. Insofern ist die Beschäftigung mit der neuen Verordnung auch im Sinne der Risikovorsorge nur zu empfehlen.
ZENTRALE PUNKTE
- Der Datenschutz muss bereits in der Konzeptionsphase geprüft und dokumentiert werden
- auch beauftragte Dienstleister müssen in das Datenschutz-Konzept einbezogen werden, nicht nur der Verarbeiter
- sensible Daten wie personenbezogene Daten, Gesundheits-, oder Bankdaten stehen besonders im Focus
- diesbezügliche Risiken müssen überwacht und dokumentiert werde
- der Betroffene erhält eine Reihe neuer Rechte
Was bezweckt die DS-GVO?
Durch die DSGVO erhalten Betroffene Aufschluss darüber, welche Informationen erhoben, verarbeitet, verbreitet und genutzt werden. Damit verbunden sind bestimmte Auskunfts-, Lösch- und Widerspruchsrechte.
Wer ist Betroffen?
Jeder, der personenbezogene Daten in der EU abfragt bzw. verarbeitet.
Hierzu gehören z.B. Webseitenbetreiber (insbesondere mit Onlineshop), Unternehmen, Ärzte, Vereine, Blogger, Schulen und andere.Dazu gehören auch Unternehmen mit Sitz im Ausland und Aktivitäten im Geltungsbereich der EU.
Was ist grundsätzlich zu tun?
· Sie müssen Betroffene grundsätzlich darüber aufklären, welche personenbezogenen Daten Sie für welchen
Zweck erheben und wie lange Sie diese speichern.
· Die Privatsphäre soll dabei schon bei der Entwicklung berücksichtigt werden.
· Datenpannen oder unberechtigte Zugriffe(„Hack“) unverzüglich melden.
· Überprüfung der Datenschutzerklärung und der AGB hinsichtlich Konformität
· Einwilligungen zu veränderten Erklärungen/AGB und newsletter-Versand einholen
Was sind personenbezogene Daten?
personenbezogen sind Daten dann, wenn diese sich auf eine identifizierbare Person beziehen.
(also z.B. Name, Geschlecht, IP-Adressen, sonstige Merkmale, die einem Menschen zugeordnet werden können).
Welche Rechte gibt es u.a. für Betroffene?
Recht auf Vergessenwerden
Recht auf Datenportabilität
Auskunftsrechte
Wo liegen die Angriffsflächen und Risikopositionen, wenn die DS-GVO nicht beachtet wird? (Motto:„weiter wie bisher“)
Als Risikopositionen kommen sowohl Konsequenzen aus Gesetzesverstößen (Datenschutzbehörden), als auch Abmahnungen (Abmahnindustrie) in Betracht. Letztere sind für den Mittelstand vermutlich sehr viel wahrscheinlicher.
Primärer Ansatzpunkt dürften hierbei fehlende oder unzureichende Datenschutzhinweise auf der Internetpräsenz bzw. fehlende oder nicht ausreichende Informationen bei der Verarbeitung personenbezogenen Daten sowie der Betroffenenrechte sein. Insbesondere beim Kontaktformular.
Auch die zweckwidrige Verwendung personenbezogener Daten bei Marketing/Vertrieb oder die rechtswidrige Weitergabe personenbezogener Daten kann Gegenstand einer Abmahnung sein.
Tipp: Die Beschäftigung mit dem Thema DSGVO erzeugt Zeitaufwand und damit Kosten. Empfehlenswert ist -jedoch gerade aus wirtschaftlicher Sicht - die frühzeitige Beschäftigung mit dem Thema, denn im Fall der Abmahnung entstehen ansonsten nicht nur diese, sondern zusätzlich auch Anwalts- und ggf. IT-Beratungskosten.
Anpassung der Datenschutzerklärung:
Die DSGVO-konforme Anpassung der Datenschutzerklärung sollte von jedem Unternehmen unbedingt durchgeführt werden um Abmahnungen zu vermeiden. Eine gute,einfache und kostenfreie Option bietet hier die DGD unter (externer link):
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
Fazit:
· Die DSGVO verbessert die Rechte für Betroffene, deren Daten verarbeitet werden
· Sie erfordert bei vielen Organisationen zusätzlichen Handlungsbedarf
· Nicht alle Punkte sind klar geregelt – über verschiedene Punkte werden letztlich Gerichte zu entscheiden haben
- Die DSGVO birgt für die Organisation (auch finanzielle) Risiken, denen möglichst frühzeitig begegnet werden sollte.
Das azm cert Datenschutzaudit - eine Option zur Feststellung der Konformität
Um einen Aufschluss über den Stand im Unternehmen zu erhalten, bietet azm cert als staatlich überwachter Mittelstandzertifizierer ein Datenschutz-Audit an. Die weitere Vorgehensweise finden Sie in der Rubrik LEISTUNGEN näher beschrieben.
Weitere Informationen zur Zertifizierung allgemein finden Sie auch unter www.azm-cert.de