Datenschutz geht alle Unternehmer an

admin Blog

Die nächste bürokratische Herausforderung steht vor der Tür, und der sperrige Name “Europäische Datenschutzgrundverordnung (EU-DSGVO)” läßt den notwendigen Aufwand für Unternehmer nicht erahnen.

Worum geht es?

Am 25. Mai 2018 tritt EU-weit die Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Damit werden die Grundrechte bei der Verarbeitung personenbezogener Daten und das Recht auf deren Schutz neu geregelt. Das hat für Unternehmen weitere Transparenz- und Informationspflichten zur Folge und soll zu einem deutlich stärkeren Schutz der Betroffenen führen.

Was ist neu und wichtig daran?
  1. Die neue Verordnung wird alle Anforderungen und Verpflichtungen an und für Unternehmen und Organisationen regeln, die Daten von natürlichen Personen sammeln, erheben, verarbeiten oder nutzen. Sie wird damit alte, auf nationaler Ebene gültige Vorschriften ersetzen.
  2. Die neue Vorschrift verlangt von jedem Unternehmen eine individuelle Daten-Strategie inkl. Notfallmaßnahmenplanung, die bis zum Stichtag im Mai 2018 zu erstellen, einzuführen, umzusetzen und zu dokumentieren ist.
Der Gesetzgeber hat 4 Schutz-Ziele gesetzt:
  1. Vertraulichkeit der Daten, d.h., diese sollen für unberechtigte Dritte nicht zugänglich sein
  2. Daten-Integrität, d.h., Sicherstellung, dass Daten nicht verfälscht werden können
  3. Daten-Verfügbarkeit, d.h. Daten sind dann verfügbar, wenn sie gebraucht werden.
  4. Belastbarkeit der Systeme und Dienste, d.h., Datenverarbeitungssyteme müssen robust und belastbar ausgelegt sein und Angriffen und Notfällen widerstehen können.
5 Konsequenzen für KMU
  1. Die Anforderungen an Unternehmen werden signifikant erhöht:
  2. Die Geschäftsführung ist nach der EU-DSGVO persönlich haftbar. Diese Haftung kann nicht vertraglich abgewendet oder die Verantwortung an andere delegiert werden; das hat zur Folge, dass Unternehmenssanktionen verschärft werden, bis auf 4% des jährlichen weltweiten Gesamtumsatzes des betroffenen Unternehmens
  3. Die neue Verordnung beinhaltet eine Beweislastumkehr: GF und ihr Unternehmen müssen dokumentieren und nachweisen könne, dass die Regelungen eingehalten werden
  4. Natürliche Personen erhalten Informations-/Auskunftsansprüche, denen innerhalb 4 Wochen nach Eingang des Ersuchens zwingend elektronisch/schriftlich entsprochen werden muß; bei Verzug besteht unmittelbares Klagerecht
  5. Privatpersonen erhalten das Recht auf unverzügliches Löschen personenbezogener Daten eingeräumt
  6. Es besteht das Recht auf sogenannte Datenportabilität. D.h., jeder EU-Bürger hat Anspruch darauf, seine persönlichen Daten an einen beliebigen Ort, also auch zu Wettbewerbern, weitergeben zu lassen. Unternehmen dürfen dem nicht widersprechen.
Diese 5 Dinge sollte jeder Unternehmer jetzt tun:
  1. Alle gespeicherten persönlichen Daten sollten analysiert und vollständig zusammengetragen werden. Die Datennnutzung im Unternehmen muss dokumentiert werden
  2. Ein betrieblicher Datenschutzbeauftragter sollte bestellt werden. Dies ist insbesondere dann wichtig, wenn das Geschäftsmodell hauptsächlich auf die Verarbeitung personenbezogener Daten zurückgreift.
  3. Unternehmer sollten veranlassen, dass dem „Recht auf Vergessenwerden“ im Unternehmen über alle Prozesse und Abteilungen hinweg nachgekommen werden kann. Gleichzeitig müssen ausgewählte Daten auch selektiv zu löschen sein.
  4. Die Unternehmens-Website muss auf die Anforderungen der neuen Verordnung angepasst werden. D.h. insbesondere Augen auf bei Kontaktformularen oder Webshopangeboten!
  5. Erklärungen zur Einwilligung zur Datenverarbeitung müssen auf das neue Gesetzeswerk adaptiert werden.
Fazit
Der bürokratische Aufwand für Unternehmer bei der Umsetzung und Anwendung der neuen Datenschutz-Verordnung DSGVO wird sich spürbar erhöhen. Zunächst muß jedoch der Stichtag 25. Mai 2018 beachtet werden – für diese Herausforderung stehen nun noch weniger als 300 Tage zur Verfügung.

Mittlerweile haben etliche Dienstleister, insbesondere Fachanwälte und spezialisierte IT-Unternehmer, die Dringlichkeit erkannt und bieten Services zur Einhaltung des Stichtages an.
Dies scheint auch notwendig, denn es steht zu vermuten, dass es ab dem 26. Mai 2018 Adressen geben wird, die über Abmahnungen von sich reden machen werden…unabhängig und zusätzlich zu Behörden und Ämtern.