Die Zeit läuft! Nicht mal mehr ein Jahr dauert es, bis am 25.05.2018 die neue Europäische Datenschutzgrundverordnung (kurz: EU-DSGVO) in Kraft tritt. Einige drastische Änderungen bezüglich Datenschutz stellen viele Unternehmen vor eine große Herausforderung. Welche Neuerungen die EU-DSGVO bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erklären wir Ihnen in einer Serie in den nächsten Blogbeiträgen.
Die EU-DSGVO hat das Ziel, dem Datenschutz mehr Geltung zu verschaffen und vor allem Rechte von natürlichen Personen bei der Datenverarbeitung zu stärken. Das betrifft hierbei vor allem die Daten von Verbrauchern, aber auch von Mitarbeitern. Europaweit sollen nun Nutzer mehr Kontrolle über ihre Daten haben.
Dementsprechend haben Betroffene nun erweiterte Rechte bezüglich Datenlöschung und Datenmitnahme. Kunden können somit jederzeit bei einem Unternehmen nachfragen, welche Daten von ihnen gespeichert sind und die Löschung oder neuerdings auch Weitergabe dieser Daten fordern. Dies muss dann auch innerhalb einer festgesetzten Frist von einem Monat passieren, wohlgemerkt kostenfrei – was viele Unternehmen vor erhebliche prozessuale Herausforderungen stellen wird. Auch das neue Recht auf Mitnahme bzw. Weitergabe von Daten an Dritte wird noch einige Fragen aufwerfen, da weder ein einheitliches Austauschformat definiert ist noch auf personenbezogenen Daten basierende Geschäftsmodelle besonders geschützt sind.
Unternehmen sind zusätzlich dazu verpflichtet, Daten zu vermeiden, also nur zu erfassen, wenn es unbedingt nötig ist. Wenn ein Unternehmen jedoch trotzdem Daten erfassen möchte, muss es einen Zweck für die Datenverarbeitung formulieren. Hinzu kommen erhöhte Anforderungen an datenschutzrechtliche Einwilligungen. Das heißt es muss erst eine deutliche Einwilligung zur Datenverarbeitung gegeben werden. Unternehmen müssen außerdem diesbezüglich transparent sein und Betroffene umfangreich über die Datenverarbeitung informieren.
Besonders wichtig ist es ab sofort für Unternehmen, alle Verfahren und Prozesse zu dokumentieren, bei denen personenbezogene Daten erhoben, gespeichert und vor allem weiterverarbeitet werden. Dabei soll „data protection by design“ als Grundsatz gelten, das heißt datenschutzfreundliches Verhalten soll schon bei der Gestaltung von Services berücksichtigt werden.
Auch eine Meldepflicht wird eingeführt, wenn der Schutz personenbezogener Daten verletzt wurde. Hier ist darauf zu achten, dass nicht nur sensible Daten von dieser Regelung betroffen sind, sondern alle. Es besteht eine Meldepflicht von 72 Stunden. Allerdings muss keine Meldung erfolgen, wenn die Verletzung keine hohen Risiken für die Rechte und Freiheiten des Betroffenen nach sich zieht. Da jedoch in 72 Stunden oft nicht verlässlich geklärt werden kann, ob dies der Fall ist, sollte tendenziell jede Verletzung gemeldet werden.
Am drastischsten für Unternehmen sind jedoch die Konsequenzen bei Nichtbeachtung der oben genannten Regelungen. Bußgelder wurden stark erhöht! Bisher galt eine maximale Höhe von 300.000€. Nach der EU-DSGVO jedoch, können bis zu 20 Millionen € oder 4% des weltweiten Jahresumsatzes fällig werden. Je nachdem welcher Wert höher ist!
Doch dies sind nur einige der neuen Herausforderungen, denen sich Unternehmen bis Mai 2018 stellen müssen. Mehr dazu lesen Sie im nächsten Blogbeitrag.
Gerne informieren wir Sie auch in einem persönliche Gespräch, wie eine effektive Vorbereitung auf die neue EU-DSGVO für Ihr Unternehmen aussehen kann. Sprechen Sie uns einfach an oder besuchen unseren Workshop zum Thema am 20.09.2017.