Aktuelles, Branche - geschrieben von am Dienstag, Oktober 24, 2017 22:35 - noch keine Kommentare

EU-DSGVO: Am 25. Mai 2018 bricht endgültig eine neue Datenschutz-Ära an

Gestärkte Betroffenenrechte und neue Datenschutzerklärung zwingen Unternehmen zum unverzüglichen Handeln

[datensicherheit.de, 24.10.2017] Am 25. Mai 2018 soll mit dem endgültigen Wirksamwerden der EU-Datenschutzgrundverordnung (EU-DSGVO) eine neue Datenschutz-Ära anbrechen. Deren erklärtes Ziel soll die Stärkung der Rechte der von der Datenverarbeitung betroffenen Personen sein, weshalb gegen den Datenschutz verstoßende Unternehmen mit empfindlich Bußen zu rechnen haben.

Neuen Rechte der Betroffenen bedeuten Mehraufwand für Unternehmen

Die neuen bzw. gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind durchaus „riesige Bausteine der DSGVO“ und somit für viele Unternehmen eine echte Herausforderung.
„Spätestens jetzt sollten Unternehmen mit den Vorbereitungen zur Datenschutzgrundverordnung beginnen und Maßnahmen ergreifen, wie sie Datenspeicherung und etwaige Datenweitergaben künftig behandeln. Denn mit den neuen Rechten kommen auf Unternehmen etliche Mehraufwände zu, die es zu bewältigen gilt“, stellt Christian Heutger, Geschäftsführer der PSW GROUP, klar.

Auskunftsfunktionen in Unternehmenssoftware integrieren!

Künftig könnten Betroffene jederzeit Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen.
Die Trennung von Informationen über Betroffene von denen über Dritte sowie von den eigenen Geschäftsgeheimnissen werde damit zur Herausforderung. Unternehmen, die hier im Voraus planen, welche Daten überhaupt herausgegeben werden können, müssten dann im Nachhinein weder aussieben noch in Hektik verfallen.
Heutger: „Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind.“
Doch er warnt zugleich: Um dabei nicht gleich grobe Datenschutzfehler zu begehen, müsse die Identität desjenigen geprüft werden, der Auskunft verlangt. „Bei der Identitätsprüfung jedoch ist Zurückhaltung gefragt. Das Gesetz erlaubt nämlich lediglich die Prüfung des Antragsstellers bei berechtigten Zweifeln – und auch dann dürfen nur sehr sparsam Informationen angefordert werden.“

Bei Widerspruchsrecht Datenverarbeitung nur noch in extremen Fällen

Ab Mai 2018 könnten betroffene Personen Widerspruch gegen das Verarbeiten personenbezogener Daten einlegen. Dies komme eher selten vor und richte sich für gewöhnlich gegen Direktmarketingmaßnahmen. Wird ein solcher Widerspruch vorgelegt, müsse er aber unbedingt umgesetzt werden.
Unternehmen könnten die Daten nur dann weiterverarbeiten, wenn sie geltend machen können, dass ohne die Datenverarbeitung schwerwiegende Nachteile entstünden. Dies wäre etwa der Fall, wenn ein Kunde zahlungssäumig ist und seiner Datenverarbeitung widerspricht. „Das gleiche gilt, wenn ein Kunde das Löschen seiner Daten beantragt“, informiert Heutger.

Recht auf Vergessenwerden eine Frage der Abwägung

Dieses ganz neue Recht diene dem Reputationsschutz Betroffener – und mache es Unternehmen nicht gerade einfacher zu entscheiden, unter welchen Umständen welche Informationen gelöscht werden dürfen.
„Das Recht auf Vergessenwerden muss mit öffentlichen Interessen, mit Meinungsfreiheit sowie mit den Kosten zum Durchführen der Löschung abgewogen werden. Es ist allerdings bislang sehr diffus und erst die Praxis wird ab Mai 2018 weitere Details zutage fördern. Denn Daten werden sicherlich in der Praxis eher gelöscht, als sich auf lange Diskussionen über eventuelle Meinungsfreiheit und womöglich folgende Strafen einzulassen“, schätzt Heutger.

Recht auf Datenübertragung – auch an Konkurrenzunternehmen

Beim Recht auf Datenübertragbarkeit gehe es weniger um den Datenschutz als eher um das Eigentum an Daten. Es erlaube Nutzern, sich den Transfer der eigenen Daten an Dritte zu wünschen. Dies könnten auch Konkurrenzunternehmen sein.
Ganz gleich also, ob künftig der Steuerberater oder das Soziale Netzwerk gewechselt werden: Alle eigenen Daten müssten auf Wunsch maschinenlesbar an den neuen Steuerberater oder eben das neue „Social Network“ lückenlos übertragen werden. Immerhin seien ausschließlich jene Daten betroffen, die beim Schließen eines Vertrags bereitgestellt wurden, nicht aber die für Werbezwecke gespeicherten Daten.
„Auch hier lohnt es sich, auf etwaige Datenübertragungen schon jetzt vorbereitet zu sein. Keinesfalls darf erst in letzter Minute damit begonnen werden, einen Mechanismus zu integrieren, der kundenbezogene Vertragsdaten von eigenen, geschäftsrelevanten Daten trennt. Andernfalls kann der Aufwand für die Datenübertragungen immens hoch werden“, warnt Heutger.

Christian Heutger, Geschäftsführer PSW Group

© PSW Group

Christian Heutger: Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind durchaus „riesige Bausteine der DSGVO“!

Datenschutzerklärung gegenüber Betroffenen

Betroffene müssten über die Verarbeitung der eigenen Daten informiert werden – und zwar vollständig und verständlich. Die folgenden Inhalte müssen deshalb in der Datenschutzerklärung enthalten sein:

  • Name/Firma und Adresse
  • Kontaktangaben, beispielsweise E-Mail-Adresse
  • E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden
  • welche Daten für welche Zwecke verarbeitet werden (d.h. Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davonbetroffen sind – so müsse beispielsweise auch die Weiterleitung der Adresse an das Logistikunternehmen benannt werden, wenn Waren versendet werden)
  • werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese Interessen benannt werden (im Falle von Marketingmaßnahmen wären dies etwa „wirtschaftliche Interessen“)
  • es müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden
  • der Zeitpunkt der Löschung personenbezogener Daten muss angegeben werden
  • teilt der Nutzer die Daten nicht selbst mit, muss die Datenquelle benannt werden
  • sämtliche Rechte des Nutzers müssen benannt werden (besondere Aufmerksamkeit erhalte das Widerspruchsrecht – dieses müsse gesondert aufgeführt werden und erhalte idealerweise einen eigenen Unterpunkt).

Weitere Informationen zum Thema:

PSW GROUP, 10.10.2017
Rechtliches / Betroffenenrechte & Datenschutzerklärung nach DSGVO

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor

datensicherheit.de, 13.06.2017
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung