Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Wissen Sie, was die EU - DSGVo für Ihr Unternehmen oder Ihren Verein bedeutet?

Die EU - DSGVo oder auch europäische Datenschutz-Grundverordnung tritt in Kraft. Am 25. Mai 2018 müssen alle Organisationen und Unternehmen, die personenbezogene Daten von in der EU befindlichen Personen verarbeiten, den neuen Rechtsrahmen zum Datenschutz umgesetzt haben.  Die Umsetzung ist verpflichtend, nicht freiwillig. Erfahren Sie alles, was Ihr Unternehmen oder Ihr Verein über die EU - DSGVo wissen muss.

Während viele große Unternehmen und Verbände schon große Schritte in Richtung Umsetzung getan haben, scheinen recht viele KMUs und kleinere Vereine noch unsicher zu sein, was genau das bedeutet, oder sind gar der Meinung, nicht an die   DSGVo gebunden zu sein. Viele haben bisher auch schon die Regelungen aus dem Bundesdatenschutzgesetz ignoriert und nicht umgesetzt. Die neuen Regelungen gelten für Organisationen jeder Größe, auch für KMUs und jeden Verein: Wenn Sie diesbezüglich noch nicht aktiv geworden sind, sollten Sie sofort damit beginnen.

 

Für wen gibt es neue Regelungen?

Mit In-Kraft-treten der EU-DSGVo am 25. Mai 2018 sind alle europäischen Länder an dieselben Datenschutzvorschriften gebunden. Wenn Ihre Organisation den Anforderungen der   DSGVo entspricht, dann befinden Sie sich im Wesentlichen auch im Einklang mit dem Gesetz aller europäischen Länder – sowohl digital wie auch analog. Da diese Verordnung innerhalb einzelner EU-Länder auch strenger umgesetzt werden kann, kann es trotzdem noch marginale, nationale Unterschiede geben. Das bis dahin geltende Recht, die Datenschutzrichtlinie, ist inzwischen veraltet und wurde eingeführt, bevor das Internet und Cloud-Technologie Einzug gehalten hatten.

Die EU-DSGVo enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und Regelungen zum Verkehr und Transfer dieser Daten. Mit der EU-DSGVo werden im Wesentlichen drei Ziele verfolgt:

  • Betroffene Personen in der EU zu schützen und ihnen größere Kontrolle über die Verwendung ihrer personenbezogenen Daten zu geben
  • Die Datenschutzgesetze zu modernisieren, so dass sie die technologische Wirklichkeit widerspiegeln
  • Den Datenschutz in den EU-Mitgliedsstaaten zu vereinheitlichen

Für viele Unternehmen gehört das Sammeln, Verarbeiten und Austauschen personenbezogener Daten zum Tagesgeschäft.
Die EU-DSGVo hat zwei Anwendungsbereiche:

1. Sachlicher Anwendungsbereich: Die EU-DSGVo findet Anwendung, sobald personenbezogene Daten verarbeitet werden.

2. Räumlicher Anwendungsbereich: Die EU-DSGVo findet Anwendung:

  • Wenn Sie in der EU niedergelassen sind und im Rahmen Ihrer Tätigkeiten personenbezogene Daten verarbeiten, unabhängig davon, ob die Verarbeitung dieser Daten in der EU stattfindet oder nicht, und unabhängig davon, ob Sie als Verantwortlicher oder Auftragsverarbeiter agieren (siehe unten).
  • Auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden (also nicht nur beschränkt auf EU-Bürger), durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, sofern die Datenverarbeitung im Zusammenhang mit einer der folgenden Aktivitäten steht:
    • wenn betroffenen Personen in der EU Waren oder Dienstleistungen angeboten werden (unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist)
    • wenn das Verhalten betroffener Personen in der EU beobachtet wird, sofern ihr Verhalten in der EU stattfindet

Warum müssen Vorkehrungen für die EU-DSGVo troffen werden?

Welche Konsequenzen ergeben sich für Ihre Organisation, wenn Sie die Anforderungen der  EU-DSGVO nicht erfüllen? Die neuen Maximalstrafen sind wesentlich höher als bisher im Verstoß gegen Bundesdatenschutzgesetz. Organisationen – genauer der Verantwortliche persönlich -, die sich nicht an die Vorschriften halten, riskieren eine durch die lokale Aufsichtsbehörde verhängte Geldbuße. Abhängig von der Art des Verstoßes können die Geldbußen bis zu 4 Prozent des Jahresumsatzes betragen.

Darüber hinaus machen sich Kunden und Mitglieder, die einem Unternehmen ihre Daten überlassen, immer mehr Gedanken darüber, wie und wo ihre Daten gespeichert und weiterverarbeitet werden. Die öffentliche Diskussion über die Facebook-Daten-Nutzung im Frühjahr 2018 zeigt dies deutlich. Unternehmen könnten also (potenzielle) Kunden verlieren, denn eine Nichterfüllung der EU-DSGVO kann sich massiv auf das Vertrauen der Kunden auswirken und den Ruf eines Unternehmens schädigen.

 

Beginnen sie sofort mit der Umsetzung!

Mit drei Aktionen können sie sofort und allein bereits beginnen:

Wenn man die Risiken bedenkt, müssen Sie die notwendigen Vorkehrungen treffen, um die Anforderungen der EU-DSGVo zu erfüllen. Nur, wo fängt man an? Diese Maßnahmen können Sie für Ihre Organisation sofort beginnen (und sollten dies auch dokumentieren!):

1. Entscheiden Sie, was Sie intern regeln können, und prüfen Sie, ob Sie sich externe Hilfe holen sollten. Besonders wichtig ist dies für die Rechtsdokumente, die Sie erstellen oder anpassen müssen. Unabhängige Datenschutzbeauftragte helfen Ihnen – Rechtsanwälte sind zwar juristisch sicherer, in der praktischen Umsetzung aber nicht erfahren.

2. Daten-Audit durchführen: Verschaffen Sie sich einen Überblick darüber, wie Sie gegenwärtig personenbezogene Daten sammeln, speichern und ggf. selbst verarbeiten. Wo bewahren Sie im Moment Ihre Kontaktinformationen auf? Wie haben Sie sie gesammelt und für welche Zwecke werden sie aktuell verwendet? Ihr Datenmanagementprozess ist von entscheidender Bedeutung. Aber es gibt gute Neuigkeiten: Sie können sich hierbei durch Cloud- und SaaS-Technologien mit den modernsten Sicherheitseinstellungen unterstützen lassen, denn diese eröffnen zahlreiche Möglichkeiten, Ihre Daten sicher an einem einzigen Ort in der Cloud zu speichern.

3. Informieren Sie Ihre eigenen Kunden und Mitglieder: Am besten erzielen Sie Transparenz in Bezug auf die Art, wie in Ihrer Organisation personenbezogene Daten verarbeitet werden, indem Sie Ihre Datenschutzerklärung aktualisieren. Für Datenverantwortliche (also diejenigen, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden) ist dies obligatorisch. Darüber hinaus können Sie Ihren Kunden und Mitgliedern die EU-DSGVo auch ausführlich in einer E-Mail erklären und dieser einen Link zu Ihrer aktualisierten Datenschutzerklärung hinzufügen.

Was sollte Ihre neue Datenschutzerklärung enthalten? Auf jeden Fall muss sie sich auf die  EU-DSGVo beziehen und Informationen zu den folgenden Punkten beinhalten:

  • welche personenbezogenen Daten erhoben werden,
  • wie diese erhoben werden,
  • dem Verarbeitungszweck,
  • der Datenspeicherfrist,
  • den Rechten der betroffenen Personen,
  • Ihrem Beschwerdeverfahren,
  • der Datenübertragung an Dritte, etc.

 


 

Alles zu kompliziert und zu wenig Zeit, sich mit der Umsetzung zu befassen?

Dann sollten Sie – auch wenn Sie keine 10 Mitarbeiter/Personen in der Verarbeitung personenbezogener Daten haben – die Hilfe eines externen Datenschutzbeauftragten (DSB) einholen. Das geht schneller, als einen eigenen Mitarbeiter erst zu schulen, dann für die Aufgaben frei zu stellen und noch den erhöhten Kündigungsschutz eines eigenen DSB zu tragen.

Fehlerhafter Datenschutz war und ist weiterhin kein Kavaliersdelikt – als verantwortlicher eines Unternehmens oder Vereins haften Sie -PERSÖNLICH. Ein DSB geht mit in die Verantwortung und entlastet Sie.

 

Lars Bosse Datenschutzbeauftragter (TÜV), Leipzig

Kontakt: