Nicht kümmern kann teuer werden
Am 25. Mai tritt eine Datenschutzgrundverordnung (DSGVO) in Kraft. Eine Umfrage des Internet-Verbands eco ergab, dass viele Unternehmen darauf schlecht vorbereitet sind: Lediglich 13 Prozent sehen sich rechtlich auf der sicheren Seite. Wir klären die wichtigsten Fragen:
Weshalb gibt es eine neue DSGVO?
In Europa gibt es bisher, je nach Land, unterschiedliche Bestimmungen zum Datenschutz. Mit der neuen DSGVO soll das Datenschutzrecht einheitlich geregelt werden. Jeder Bürger soll Kontrolle über seine Daten haben und für alle Unternehmen, die in der EU tätig sind, soll es dieselben Wettbewerbsbedingungen geben.
Wen betrifft die DSGVO?
Die DSGVO betrifft alle Unternehmen, die automatisiert personenbezogene Daten verarbeiten. Bereits ein elektronisches Vereins-Mitgliederverzeichnis fällt unter die Verordnung. Sie gilt für Großkonzerne genauso, wie für kleine Handwerksbetriebe. Privatpersonen sind ausgenommen, sofern sie Daten lediglich für persönliche Zwecke verwenden. Wie bisher auch wird es für Journalisten, die innerhalb einer Recherche personenbezogene Daten erheben und diese nutzen, Ausnahmen geben.
Was genau sind personenbezogene Daten?
Zu personenbezogenen Daten zählen alle eine Person betreffenden Angaben, wie Name, Adresse, E-Mail-Adresse oder Geburtsdatum. Auch die IP-Adresse oder die Steuernummer, das Autokennzeichen oder eine Bankverbindung gelten als personenbezogene Daten.
Welche Pflichten hat ein Unternehmen mit Inkrafttreten der neuen DSGVO?
Jede Firma, die personenbezogene Daten erhebt, speichert und nutzt, muss nachweisen können, dass die entsprechenden Personen – Kunden wie Mitarbeiter –dem ausdrücklich zugestimmt haben. Außerdem müssen Betriebe in einem Verzeichnis festhalten, wie personenbezogene Daten verarbeitet werden, wer Zugriff darauf hat und wie sie die Daten schützen. Das gilt für elektronische Personalakten genauso wie für Kundenverzeichnisse.
Erhobene Daten dürfen nur zweckgebunden verwendet werden. Ein Beispiel: Hat ein Kunde sich mit seiner E-Mail-Adresse für ein Firmen-Event angemeldet, darf seine E-Mail-Adresse auch nur für den Versand der Anmeldebestätigung verwendet werden. Nicht erlaubt wäre es, ihn ohne seine Zustimmung in den Verteiler für den Newsletter aufzunehmen.
Wichtig zu wissen: Sollte in einem Unternehmen eine „Datenpanne“ mit einem entsprechenden Risiko für Betroffene auftreten, ist diese innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden.
Welche Bußgelder drohen bei einem Verstoß?
Die EU-Datenschutzbehörden können bei einem Verstoß Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes einer Firma verhängen. Zusätzlich ermöglicht die DSGVO es Nutzern, zivilrechtlich Schadensersatz bei einem Unternehmen geltend zu machen, wenn dieses gegen die neuen Regeln verstößt. Wie hoch der Schadensersatz ausfällt, hängt vom Einzelfall ab und ist ggf. gerichtlich zu klären. Möglich ist auch, dass „Abmahnanwälte“ die neue Rechtslage ausnutzen. Zielgruppe für die meist mit Geldbußen versehenen Abmahnungen sind oft kleine und mittelständische Betriebe, die sich rechtlich nicht zur Wehr zu setzen wissen. Umso wichtiger ist es für alle Firmen, auf ihrer Homepage eine Datenschutzerklärung zu veröffentlichen, die besagt, dass der Einsatz von Daten-Analyse-Werkzeugen und der Versand von Newslettern nur nach ausdrücklicher Zustimmung erfolgt.
Braucht jedes Unternehmen einen Datenschutzbeauftragten?
Wenn mindestens 10 Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen einen Datenschutzbeauftragten an die Landesbehörde melden.
Fazit
Firmen müssen jetzt vor allem prüfen, ob für alle Daten, die noch in Gebrauch sind, die notwendigen Einwilligungserklärungen der Betroffenen vorliegen. Personenbezogene Angaben, die nicht mehr benötigt werden, sollten vernichtet oder gelöscht werden.
Tipp: Für orgavision-Nutzer gibt es ein Muster-Datenschutzhandbuch, das in ein bestehendes orgavision Managementsystem integriert werden kann. Es dient als Grundlage, die Anforderungen der DSGVO an eine Datenschutzdokumentation zu erfüllen.
Quellen: Umfrage – eco Verband der Internetwirtschaft