zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Datenschutz

Davina Spohn,

Dies gilt es bei der DSGVO zu beachten

Am 25. Mai 2018 tritt die geänderte EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Unternehmen, die sich nicht daran halten drohen Bußgelder von bis zu 20 Mio. Euro oder 4 % vom weltweiten Jahresumsatz. Was ändert sich? Was gibt es zu beachten?

© Pixabay

Generell rät SoftGuide - ein Internetportal für Business-Software - Firmen dazu, den Datenschutz und die Umsetzung der DSGVO zur Chefsache zu machen. Anhand von Checklisten lässt sich ein Verzeichnis der Verarbeitungstätigkeiten erstellen - unter Umständen auch mit Hilfe durch Datenschutz-Software und externe Hilfe. Ansprechpartner sind hierbei die für den Datenschutz zuständigen Landesaufsichtsbehörden, IT-Dienstleister mit Schwerpunkt Datenschutz oder Juristen mit dem Schwerpunkt IT.

Mit Blick auf die neu in Kraft tretende DSGVO gibt es laut SoftGuide insbesondere folgende elf Punkte zu beachten:

1. Verantwortlichkeiten klären

Sind im Unternehmen die Verantwortlichkeiten rund um das Thema Datenschutz geklärt? Gibt es einen Datenschutzbeauftragten und ist dieser gemäß Artikel 37 Absatz 8 DSGVO der zuständigen Aufsichtsbehörde gemeldet? SoftGuide rät dazu, die Datenschutzziele in einer Leitlinie zusammenzufassen und die entsprechenden Mitarbeiter auf die Datenschutzrisiken aufmerksam zu machen.

2. Rechtmäßigkeit der Datenverarbeitung prüfen

Der Artikel 6 des DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung. Dieser Artikel liefert im Absatz 1 eine Checkliste mit. Liegt eine Einwilligung der betroffenen Person vor, dienen die Daten der Vertragserfüllung (etwa Daten an Spediteur). Werden die Daten aufgrund gesetzlicher Pflichten – etwa zur Rechnungsarchivierung – erhoben, dienen sie dem Schutz lebenswichtiger Interessen von Menschen (etwa Medizin) oder liegen berechtigte Interessen des Verantwortlichen oder eines Dritten vor (etwa IT-Sicherheit, Compliance, Arbeitszeiterfassung).

Anzeige

3. Umgang mit personenbezogenen Daten

Zu den personenbezogenen Daten gehören nicht nur Name und Adresse und Geburtsdatum einer Person, sondern auch ihr Einkommen, ihr Kaufverhalten, ihre IP-Adresse sowie ihr Surf- und Klickverhalten. Wichtig im Zusammenhang mit diesen personenbezogenen Daten ist, dass eine Einwilligung in die Datenverarbeitung erst ab 16 Jahren möglich ist und es bei jüngeren Kindern vorher der elterlichen Einwilligung bedarf. Verantwortliche müssen nachweisen, dass die betroffene Person oder der Erziehungsberechtigte in die Verarbeitung ihrer personenbezogenen Daten beziehungsweise der des Kindes eingewilligt hat.

Unternehmen in der Rechenschaftspflicht

4. Das „Recht auf Vergessenwerden“

Mit dem Inkrafttreten des neuen DSGVO sind die Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, wünscht es die betroffene Person. Für diese Vorgänge muss es entsprechende Datenverarbeitungsrichtlinien im Unternehmen geben.

5. Verzeichnis von Verarbeitungstätigkeiten

Eine wesentliche Änderung zu der bisherigen gesetzlichen Regelung ist, dass künftig eine sogenannte Rechenschaftspflicht seitens des Unternehmens besteht. Das heißt: Das Unternehmen muss bei der Datenverarbeitung begleitend Nachweise erstellen, dass die Verarbeitung im Einklang mit den DSGVO-Vorgaben steht. Außerdem muss jedes Unternehmen die Datenschutzziele wie Datenvermeidung, Transparenz der Verarbeitung und Zweckbindung nachweisbar verfolgen. Es genügt also nicht mehr die Datenschutz-Vorgaben zu erfüllen, sondern man muss dieses auch den Aufsichtsbehörden gegenüber nachweisen können. Auf Anfrage muss die Firma diese Verarbeitungstätigkeits-Verzeichnisse der Aufsichtsbehörde vorlegen.

Ein fehlender Nachweis kann laut SoftGuide schon zu einem Bußgeld führen - selbst dann, wenn die Verarbeitung rechtskonform erfolgt ist. Einige Sachverhalte sind noch nicht eindeutig geregelt. Etwa ist laut dem Bundesverband der Datenschutzbeauftragten unklar, wie Unternehmen mit den Einwilligungen von Kunden verfahren müssen, wenn sie für mehrere Zwecke personenbezogene Daten erheben möchten.

Zwar gibt es nach Artikel 30 Absatz 5 DS-GVO Ausnahmen was die Führung dieses Verzeichnisses angeht, diese sind allerdings so speziell gefasst, dass im Grunde alle Unternehmen (inklusive Kleinstgewerbetreibende, Arztpraxen, Apotheken, Bildungseinrichtungen und Vereine) ein solches Verzeichnis führen müssen. SoftGuide empfiehlt, diese Verzeichnisse für die unterschiedlichen Verarbeitungstätigkeiten einzeln zu erstellen etwa für das CRM-System, das HR-Informationssystem oder das Zeiterfassungssystem.

Selbstanzeigepflicht von Datenpannen

6. Umgang mit Auftragsverarbeitern

Alle in die Datenverarbeitung einbezogenen Unternehmen – auch Externe wie Steuerberater – müssen vertraglich festgehalten werden.

© ginasanders - 123RF

Gibt das Unternehmen zur Datenverarbeitung diese Daten an Externe – an sogenannte Auftragsverarbeiter wie Datev, Steuerberater und Logistikunternehmen – muss dies nach Artikel 28 DS-GVO auf Grundlage eines Vertrages oder eines “anderen Rechtsinstrumentes” erfolgen. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so müssen dieselben Datenschutzpflichten, die für den Auftragsverarbeiter gelten, vereinbart werden.

Wartung und Fernwartung von Firmensystemen bedürfen ebenso eines Vertrages über Auftragsdatenverarbeitung, wenn das Unternehmen nicht explizit sicherstellen kann, dass im Rahmen einer Wartung / Fernwartung ein Zugriff auf personenbezogene Daten absolut sicher vermieden werden kann.

7. Abschätzen von Datenschutzfolgen

Für kritische Datenverarbeitungen – wie etwa die Videoüberwachung – muss das Unternehmen vor der Verarbeitung detailliert darstellen, auf welcher Grundlage die Verarbeitung erfolgt. Auch eine Bewertung der damit verbundenen Risiken ist notwendig. 

8. Meldepflicht von "Datenpannen"

Die Unternehmen haben gegenüber der Aufsichtsbehörde eine Selbstanzeigepflicht von Datenpannen. Diese sind innerhalb von 72 Stunden zu melden. Außerdem muss die betroffene Person, die die Datenpanne betrifft unverzüglich informiert werden. Zu Datenpannen zählen neben Hackerangriffe etwa auch Datenverlust und unbefugte Einsichtnahme in personenbezogene Daten. Eine Meldung an die Aufsichtsbehörde muss nur nicht erfolgen, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Unternehmens-Website updaten

9. Datenschutzerklärung für Webseiten updaten

Die Änderung der Datenschutzgrundverordnung erhöht die Informationspflichten der Betreiber von Webseiten: Etwa müssen diese auf die Rechtsgrundlagen der Datenverarbeitung hinweisen. Daher ist auf jeden Fall ein Update der bisherigen Datenschutzerklärungen auf den Unternehmens-Webseiten wichtig, so SoftGuide.

10. Das Prinzip ‚Privacy by Design‘

‘Privacy by Design’ ist ein Grundsatz, der bereits in der Entwicklung von Hard- und Software für Datenverarbeitung ansetzt: Bereits in dieser Phase sind die entwickelnden Unternehmen dazu verpflichtet, die Datenschutzvorschriften zu berücksichtigen. Durch die DSGVO soll das frühzeitige Ergreifen von technischen und organisatorischen Maßnahmen bereits im Entwicklungsstadium sichergestellt sein.

11. Das Prinzip ‚Privacy by Default‘

‘Privacy by Default’ heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Bei Software etwa muss der Auslieferungszustand so gestaltet sein, dass der Nutzer keine weiteren Datenschutz-Einstellungen vornehmen muss, um seine Privatsphäre zu schützen. Diese Regelung gilt auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind. 

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige

Cybersicherheit

Vier von zehn ICS-Computern sind bedroht

Der aktuelle Report von Kaspersky zu Cyberbedrohungen für die erste Jahreshälfte 2019 zeigt: 41,2 % der ICS-Computer (Industrial Control System) waren einer Attacke ausgesetzt. Der Energiesektor ist dabei am häufigsten betroffen – unter anderem von...

mehr...
Anzeige
Anzeige
Anzeige
Jetzt Newsletter abonnieren