IHK Industrie und Handelskammer Bonn/Rhein-Sieg


Das neue EU-Datenschutzrecht kommt

Was Unternehmen wissen müssen

EU-DatenschutzrechtAb Mai 2018 bringt die EU-Datenschutz-Grundverordnung (DSGVO) neue Pflichten für die Datenverarbeitung. Die Verordnung gilt unmittelbar in der gesamten Europäischen Union. Unternehmen sollten die Zeit bis dahin daher nutzen, um ihre eigenen Datenverarbeitungsprozesse zu prüfen und sich mit den neuen Standards vertraut zu machen. Ansonsten drohen empfindliche Strafen.

Am 25. Mai 2018 ist es soweit: Die EU-Datenschutz-Grundverordnung (DSGVO) tritt in Kraft und ersetzt die EU-Datenschutzrichtlinie – unterstützt durch ein neues Bundesdatenschutzgesetz. Die DSGVO vereinheitlicht das Datenschutzrecht innerhalb der EU.

Zugleich bringen die neuen Regeln erhebliche Änderungen mit sich, wie personenbezogene Daten verarbeitet und gespeichert werden dürfen. Und diese Änderungen betreffen jedes Unternehmen, das im Internet aktiv ist. Ob Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Facebook und die eigene Datenschutzerklärung: Vieles ändert sich durch die neue Verordnung.

Gefühlt gut vorbereitet?

Laut einer aktuellen Studie glauben zwar viele Unternehmen, dass sie gut auf die Neuerungen vorbereitet sind. Die Kluft zwischen Selbsteinschätzung und Umsetzung erscheint jedoch groß. So zeigt die Untersuchung, dass insgesamt große Unsicherheit darüber besteht, was getan werden muss, um die Vorgaben zu erfüllen. Auf den Punkt gebracht lautet die Botschaft der DSGVO: Für Verbraucher wird sich vieles zum Positiven entwickeln, Unternehmen müssen sich dagegen anpassen.

Verbraucher können zukünftig leichter in Erfahrung bringen, welche Daten über sie gesammelt werden. Außerdem müssen Unternehmen Auskunft darüber geben, wer welche Daten in welcher Weise und an welcher Stelle verarbeitet und speichert. Dazu kommt der Anspruch, dass die Informationen über die Daten klar und leicht verständlich zu erfassen sind. Datenverarbeitungsvorgänge sind dann zulässig, wenn der Nutzer zugestimmt hat oder aber die Datenverarbeitung notwendig ist, um den Vertrag zu erfüllen.

Minderjährige künftig besser geschützt

Die DSGVO hat außerdem den Schutz von Kindern und Jugendlichen stärker im Blick. Daher wird das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten erhöht – von 13 auf 16 Jahre. Online-Händler müssen künftig geeignete Altersverifikationssysteme in ihre elektronischen Einwilligungsprozesse integrieren.

Werden Daten gehackt, muss der Nutzer demnächst noch ausführlicher informiert werden. Außerdem müssen solche Vorfälle den zuständigen Behörden gemeldet werden. Personenbezogene Daten gehören dem Nutzer – und keinem Internetdienst.

Das Recht auf Vergessen soll mit den neuen Vorschriften gestärkt werden. Damit kann jeder seine personenbezogenen Daten im Internet leichter löschen lassen. Das heißt für Unternehmen: Wünschen Kunden, dass ihre Daten gelöscht werden – und gibt es keine Gründe für eine weitere Speicherung –, muss das Unternehmen diesem Wunsch nachkommen.

Hohe Bußgelder bei Datenschutz-Verstößen

Die neuen Standards gelten nicht nur für Unternehmen, die in Europa ansässig sind. Auch Firmen aus Drittländern – etwa den USA – müssen sich künftig an europäische Richtlinien halten, wenn sie in Europa Geschäfte machen.

Hat ein Verbraucher ein Problem mit einem Anbieter in einem anderen Land, kann er sich künftig in seiner Sprache an die heimische Beschwerdestelle wenden. Wird gegen die Datenschutzvorgaben verstoßen, können Bußgelder in Höhe von bis zu vier Prozent der Jahresumsätze des jeweiligen Unternehmens verhängt werden.
Die Beweislast wird dabei umgekehrt: Nicht mehr die Behörden müssen die Verstöße nachweisen, sondern die Unternehmen müssen beweisen, dass sie die Vorgaben einhalten. Als Beweismaterial können vor allem Protokolle über erteilte Einwilligungen, die Dokumentation des Datenspeichers und der Nachweis der rein internen, zweckgebundenen Verwendung dienen.

Daher ist es wichtig, im Unternehmen eine Checkliste abzuarbeiten und sich auf die DSGVO vorzubereiten: ??

  • Verschaffen Sie sich zunächst einen Überblick über die Vorschriften.
  • Dokumentieren Sie den Datenfluss innerhalb Ihrer Firma, welche Daten Ihr Unternehmen besitzt und wofür diese genutzt werden.
  • Prüfen Sie, ob das Sammeln, der Einsatz und das Speichern der Daten mit den Vorschriften der DSGVO konform geht.
  • Überprüfen Sie eingesetzte Software und den bisherigen Ansatz Ihrer Datensicherung.
  • Sorgen Sie für Compliance-Lösungen und dokumentieren Sie diese.

Die neue Datenschutzverordnung muss darüber hinaus weitere Schutzprozesse in Unternehmen in Gang setzen. Beispiel Personal: Um einen Arbeitnehmer zu beschäftigen, müssen Unternehmen Daten der Mitarbeiter speichern – zum Beispiel für die Personalakte oder für die Lohnabrechnung. Hier müssen die neuen Anforderungen zur Transparenz bei der Datenverarbeitung auch beim Beschäftigtendatenschutz erfüllt werden.

Gleiches gilt für Betriebsvereinbarungen: Hier kommt auf Unternehmen erheblicher Änderungsbedarf zu. Nicht nur Datenschutz und IT sind davon betroffen, sondern auch – neben der Personalabteilung – die juristischen Bereiche und die operativen Unternehmensfunktionen. Zugleich dürfte für viele Firmen notwendig werden, die Datenschutzerklärung vollständig zu überholen und neu zu verfassen. Diese müssen erstmalig auch über die Dauer der Datenspeicherung und ein Beschwerderecht bei der Aufsichtsbehörde aufklären.

Constanze Elter, Die Steuerjournalistin

Die Wirtschaft

Aktuelle Ausgabe

Ansprechpartner

Photo of Detlev  Langer

Tel.: 0228 2284-134
Fax.: 0228 2284-222