+49 (0)32 221 096 223

GDPR: Was bedeutet das für Sie?

Im nächsten Jahr findet eine wichtige Änderung auf dem Gebiet des Datenschutzes statt. Ab dann gilt nämlich die neue EU-Datenschutzverordnung: die General Data Protection Regulation (GDPR)  (im Niederländischen EU Algemene verordening gegevensbescherming  (EU-AVG) und im Deutschen EU Datenschutz-Grundverordnung (EU-DSGVO) genannt).
Am 28. Mai 2018, zwei Jahre, nachdem sie im Amtsblatt der Europäischen Union erschienen ist,  tritt diese neue Datenschutz-Verordnung in Kraft. Diese Verordnung gilt für die gesamte EU und bringt viele Änderungen, die Auswirkungen auf alle Unternehmen in der EU haben werden. Wir haben uns intensiv mit der neuen Verordnung beschäftigt und die wichtigsten Änderungen für Sie aufgelistet.

Mehr Rechte für alle Betroffenen

Durch die GDPR wird die Datenschutzgesetzgebung viel umfassender. Auch Ihre Erklärung nach außen hin, wie der Datenschutz in Ihrem Unternehmen gehandhabt wird, muss viel transparenter werden. Das bedeutet unter anderem:

  • Demnächst fallen nicht nur personenbezogene Daten unter den Datenschutz, sondern auch IP-Adressen, Cookies, MAC-Adressen oder RFID-Tags. Das bedeutet, dass mit  diesen Daten genauso vorsichtig wie mit der Kontonummer einer Person umzugehen ist.
  • Daten, die gesammelt wurden, müssen möglichst schnell gelöscht werden.
  • Personen haben das Recht, ihre Daten anzufordern und diese zu ändern, zu ergänzen oder zu löschen (Auskunftsrecht).
  • Ihre Datenschutzerklärung sollte möglichst transparent sein. Sie sollte den Hinweis enthalten, dass Personen sich im Falle von Beschwerden bezüglich der Verarbeitung ihrer Daten an den Datenschutzbeauftragten  wenden können.
  • Es wurde das Recht, unter gewissen Bedingungen Daten in einem Standardformat zu erhalten, hinzugefügt (Recht auf Datenportabilität).

Dokumentieren bekommt einen höheren Stellenwert

Sämtliche Verarbeitungen von personenbezogenen Daten müssen im nächsten Jahr gemäß den GDPR-Normen dokumentiert werden. Das bedeutet, dass nicht nur die Kundendaten, sondern auch Personalakten oder sonstige Dokumente, die personenbezogene Daten enthalten, dokumentiert werden müssen. Dabei muss erwähnt werden, aus welchem Grunde die Daten gespeichert werden. In einer separaten Datenschutzerklärung muss angegeben werden, wer welche Rolle beim Umgang mit personenbezogenen Daten spielt und muss zudem nachgewiesen werden, dass die Informationssicherheit im Unternehmen gewährleistet ist, zum  Beispiel durch das ISO27001 Zertifikat.

Für Datenlecks gelten auch andere Regeln. Alle Datenlecks müssen intern dokumentiert werden, auch solche, die man der Datenschutzbehörde nicht melden muss.

Bearbeiter- statt Verarbeiter-Vereinbarung

Gemäß GDPR ist eine Drittpartei, die Daten verarbeitet, kein Bearbeiter sondern Verarbeiter. Wie auch schon nach dem jetzigen Datenschutzgesetz, muss mit allen Lieferanten und Abnehmern, mit denen Daten ausgetauscht werden, eine Vereinbarung zur Einhaltung des Datenschutzes abgeschlossen werden. Die Zustimmung ist dabei ein wichtiger Teil. Das heißt, dass Personen ihre klare Zustimmung zur Erhebung ihrer Daten gegeben haben müssen und diese auch widerrufen können.

Privacy by design & privacy by default

Die GDPR enthält zwei Ergänzungen: Privacy by Design und Privacy by Default.
Privacy by Design bedeutet, dass bei der Entwicklung von Produkten und Diensten datenschutzerhöhende Systeme in Betracht gezogen werden sollten, während bei dem Prinzip  Privacy by Default die Datenminimierung zu berücksichtigen ist. Das heißt, dass möglichst nur die Daten verarbeitet werden, die für die Erfüllung eines spezifischen Zwecks erforderlich sind.

Datenschutzbeauftragter verpflichtet (in manchen Fällen)

Wenn Daten in großem Rahmen verarbeitet werden, zum Beispiel in Krankenhäusern, kann es verpflichtet sein, einen internen oder externen Datenschutzbeauftragten einzustellen.

Privacy Impact Assessment

Wenn die Verarbeitung von personenbezogenen Daten mit großen Risiken verbunden ist, muss nach der neuen EU-Datenschutz-Verordnung ein Privacy Impact Assesment (PIA) oder Data Protection Impact Assessment (DPIA) durchgeführt werden. Diese Assessments mit unterschiedlichen Bezeichnungen bedeuten im Prinzip dasselbe. Das Assessment ist auf jeden Fall u. a. beim Profiling erforderlich,  wenn in sehr großem Rahmen Daten verarbeitet werden oder Daten in einem öffentlich zugänglichen Bereich erhoben werden. Eine Arbeitsgruppe hat eine Liste mit 10 Kriterien erstellt,  anhand derer bestimmt werden kann, wann es sich um ein großes Risiko handelt.

Internationale Zusammenarbeit  

Ein Unternehmen, das mehrere Niederlassungen hat oder mit einem Unternehmen in einem EU-Mitgliedstaat Geschäftsbeziehungen unterhält, sollte über einen für alle Niederlassungen zuständigen Datenschutzbeauftragten verfügen. Das Unternehmen sollte auch überprüfen,  ob seine Lieferanten mit internationalen Parteien zusammenarbeiten und ob die Herkunftsländer dieser Lieferanten sich auch strikt an die Datenschutzverordnung halten.

Zustimmung und Strafen

Alle personenbezogenen Daten müssen rechtmäßig verarbeitet werden. Das bedeutet, dass Personen der Nutzung ihrer persönlichen Daten ausdrücklich zustimmen müssen und wissen, wie, wo und von wem ihre Daten verwendet werden. Vor allem sollte deutlich sein, dass Personen ihre Zustimmung auch widerrufen können.

Unternehmen, die sich ab dem 28. Mai 2018 nicht an die Richtlinien halten, müssen mit sehr hohen Strafzahlungen rechnen. Zurzeit liegt der Höchstbetrag des Bußgeldes bei € 900.000; diese Summe erhöht sich demnächst auf  € 20.000.000, oder auf 4% des weltweiten Umsatzes.

Es geht los mit der GDPR

Für Unternehmen wird sich einiges ändern. Auf www.eugdpr.org  finden Unternehmen viele Informationen, die ihnen bei der Einführung der neuen Datenschutz-Verordnung behilflich sein können.

Was bedeutet die neue EU-GDPR für Savvii? Wir sind für die ISO27001-Zertifizierung nominiert, was bedeutet, dass wir dieses Zertifikat demnächst erhalten werden. Wir werden uns in nächster Zeit intensiv damit beschäftigen, unser Unternehmen auf die neuen Veränderungen vorzubereiten. Wie ist Ihre Meinung zu dieser neuen Datenschutz-Verordnung? Welche Auswirkung wird sie auf Ihr Unternehmen haben?

Falls Sie etwas Zeit zum Lesen haben: hier ist die vollständige Verordnung.

Kommentar

(nicht dargestellt)
(nicht dargestellt)
* Erforderliche Felder

Zurück zur Übersicht

14 Tage kostenlos testen

Jetzt kostenlos testen

Wir nutzen:

  • Let's Encrypt Kostenlos SSL
  • New Relic
  • Varnish
  • Mandrill