Am 25. Mai 2018 startet europaweit mit der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Ihr Ziel: Die Rechte der von der Datenverarbeitung betroffenen Personen zu stärken und Unternehmen bei Datenschutz verstößen empfindlich zu treffen. Die neuen oder gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind allerdings riesige Bausteine der DSGVO und für viele Unternehmen eine echte Herausforderung.
„Spätestens jetzt sollten Unternehmen mit den Vorbereitungen zur Datenschutzgrundverordnung beginnen und Maßnahmen ergreifen, wie sie Datenspeicherung und etwaige Datenweitergaben künftig behandeln. Denn mit den neuen Rechten kommen auf Unternehmen etliche Mehraufwände zu, die es zu bewältigen gilt“, so Christian Heutger, Geschäftsführer der PSW Group.
Auskunftsrecht: Auskunftsfunktionen in Unternehmenssoftware integrieren
Künftig können Betroffene jederzeit Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Die Trennung von Informationen über Betroffene von denen über Dritte sowie von den eigenen Geschäftsgeheimnissen wird damit zur Herausforderung. Unternehmen, die hier im Voraus planen, welche Daten überhaupt herausgegeben werden können, müssen im Nachhinein weder aussieben noch in Hektik verfallen.
„Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind“, rät Heutger. Doch Vorsicht: Um dabei nicht gleich grobe Datenschutzfehler zu begehen, muss die Identität desjenigen geprüft werden, der Auskunft verlangt. „Bei der Identitätsprüfung jedoch ist Zurückhaltung gefragt. Das Gesetz erlaubt nämlich lediglich die Prüfung des Antragsstellers bei berechtigten Zweifeln – und auch dann dürfen nur sehr sparsam Informationen angefordert werden.“
Widerspruchsrecht: Datenverarbeitung nur bei schwerwiegenden Nachteilen
Ab Mai können betroffene Personen Widerspruch gegen das Verarbeiten personenbezogener Daten einlegen. Dies kommt eher selten vor und richtet sich für gewöhnlich gegen Direktmarketingmaßnahmen. „Wird ein solcher Widerspruch vorgelegt, muss er unbedingt umgesetzt werden“, so Heutger. Unternehmen können die Daten nur dann weiterverarbeiten, wenn sie geltend machen können, dass ohne die Datenverarbeitung schwerwiegende Nachteile entstehen. „Dies wäre der Fall, wenn ein Kunde zahlungssäumig ist und seiner Datenverarbeitung widerspricht. Das gleiche gilt, wenn ein Kunde das Löschen seiner Daten beantragt.“
Recht auf Vergessenwerden: Eine Frage der Abwägung
Das neue Recht dient dem Reputationsschutz Betroffener – und macht es Unternehmen nicht gerade einfacher zu entscheiden, unter welchen Umständen welche Informationen gelöscht werden dürfen. „Das Recht auf Vergessenwerden muss mit öffentlichen Interessen, mit Meinungsfreiheit sowie mit den Kosten zum Durchführen der Löschung abgewogen werden. Es ist allerdings bislang sehr diffus und erst die Praxis wird ab Mai 2018 weitere Details zutage fördern. Denn Daten werden sicherlich in der Praxis eher gelöscht, als sich auf lange Diskussionen über eventuelle Meinungsfreiheit und womöglich folgende Strafen einzulassen“, schätzt Heutger.
Recht auf Datenübertragbarkeit
Beim Recht auf Datenübertragbarkeit geht es weniger um den Datenschutz als eher um Eigentum an Daten. Es erlaubt Nutzern, sich den Transfer der eigenen Daten an Dritte zu wünschen. Dies können auch Konkurrenzunternehmen sein. Ganz gleich also, ob künftig der Steuerberater oder das Social Network gewechselt werden: Alle eigenen Daten müssen auf Wunsch maschinenlesbar an den neuen Steuerberater oder eben das neue Social Network lückenlos übertragen werden. Immerhin: Betroffen sind ausschließlich jene Daten, die beim Schließen eines Vertrags bereitgestellt wurden, nicht aber die für Werbezwecke gespeicherten Daten.
„Auch hier lohnt es sich, auf etwaige Datenübertragungen schon jetzt vorbereitet zu sein. Keinesfalls darf erst in letzter Minute damit begonnen werden, einen Mechanismus zu integrieren, der kundenbezogene Vertragsdaten von eigenen, geschäftsrelevanten Daten trennt. Andernfalls kann der Aufwand für die Datenübertragungen immens hoch werden“, rät Heutger.
Datenschutzerklärung laut DSGVO
Betroffene müssen über die Verarbeitung der eigenen Daten informiert werden – und zwar vollständig und verständlich. Die folgenden Inhalte müssen deshalb in der Datenschutzerklärung enthalten sein:
– Name/Firma und Adresse
– Kontaktangaben, beispielsweise E-Mail-Adresse
– E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden
– Welche Daten für welche Zwecke verarbeitet werden. Heißt konkret: Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davon betroffen sind. So muss beispielsweise auch die Weiterleitung der Adresse an das Logistikunternehmen benannt werden, wenn Waren versendet werden.
– Werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese Interessen benannt werden. Im Falle von Marketingmaßnahmen wären dies etwa „wirtschaftliche Interessen“.
– Es müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden.
– Der Zeitpunkt der Löschung personenbezogener Daten muss angegeben werden.
– Teilt der Nutzer die Daten nicht selbst mit, muss die Datenquelle benannt werden.
– Sämtliche Rechte des Nutzers müssen benannt werden. Besondere Aufmerksamkeit erhält das Widerspruchsrecht; dieses muss gesondert aufgeführt werden und erhält idealerweise einen eigenen Unterpunkt.
Quelle: PSW GROUP
DSGVO: Was Unternehmen jetzt tun müssen
03 November 2017
Datenbank