Gesetze

Kategorie(n):

Warum gibt es eine neue Datenschutz-Grundverordnung (DSGVO)?

In Zeiten der digitalen Datenverarbeitung ist ein Ungleichgewicht entstanden. Bürger geben vermehrt Daten an Unternehmen, um z.B. Kleidung zu bestellen oder auch Apps zu nutzen. Diese Datenweitergabe ist erforderlich, wenn die Unternehmen die Anforderungen/Bestellungen der Bürger verarbeiten sollen. Doch die Unternehmen sammeln immer mehr und mehr Daten und die eigentlichen „Besitzer“ der Daten wissen nicht wirklich, was mit ihren Informationen passiert. Die Europäische Union (EU) möchte mit der Datenschutz-Grundverordnung (DS-GVO) den Bürgern mehr Hoheit über ihre Daten geben.

Dateninhaber sind die Personen, deren Daten gespeichert und verarbeitet werden: Das sind Kunden, Lieferanten oder Geschäftspartner. Zu den personenbezogenen Daten gehören Name, Geschlecht, Familienstand, Anschrift, Telefonnummer, E-Mail-Adresse, Bankverbindung und natürlich auch Dinge wie ein Fingerabdruck, Iris-Scan und genetische Daten (DNA). Dabei ist es grundsätzlich verboten, personenbezogene Daten ohne Zustimmung des Inhabers zu verarbeiten.

Generell gilt bei der Verarbeitung von personenbezogenen Daten das Sparsamkeitsprinzip, d.h. es dürfen nur so viele personenbezogene Daten gespeichert werden, wie zur Verarbeitung zwingend notwendig. Die Rechte der Dateninhaber sind dabei ziemlich umfassend, so dass Unternehmen zahlreiche Prozesse anpassen müssen, um bei Anfragen für Transparenz zu sorgen, Korrekturen und Löschungen verlässlich und nachvollziehbar durchführen zu können oder bei Auskunftsanfragen die gespeicherten Daten vollumfänglich dem Dateninhaber dokumentieren zu können.

Die Unternehmen müssen vorbereitet sein, um hohe Strafzahlungen bei Kontrollen zu vermeiden, denn Kunden oder Lieferanten können sich bei Verdacht auf unrechtmäßige Verarbeitung ihrer personenbezogenen Daten beim Bundesamt für Sicherheit (BSI) beschweren und somit Kontrollen in den Unternehmen initiieren.

Obwohl die Datenschutz-Grundverordnung (DSGVO) gar nicht so neu ist (sie trat am 25. Mai 2016 in Kraft), so endet am 25. Mai 2018 nach eine zweijährigen Übergangsfrist die „Schonfrist“, d.h. sie muss von den Unternehmen zwingend angewandt werden.

10 zentrale Regulierungen des DSGVO

  1. Die DVSGO gilt für alle Anbieter, die Angebote an Bürger in der EU richten – ganz gleich, ob sie ihre Daten verarbeiten
  2. Jedes Unternehmen muss ein Datenschutzkonzept nachweisen können, das regelmäßig kontrolliert und bei Bedarf weiterentwickelt wird
  3. Die Betroffenen müssen von den Unternehmen umfangreicher als bisher über die Verarbeitung ihrer Daten und ihre Rechte informiert werden. Dazu gehören Grund der Speicherung (berechtigtes Interesse), Speicherdauer, Kontakt des Datenschutzbeauftragten etc.
  4. Jegliche Prozesse, die mit den personenbezogenen Daten in Berührung kommen, müssen dokumentiert werden
  5. Es müssen regelmäßige Audits zur Riskoanalyse und Folgenabschätzung durchgeführt werden
  6. Es gibt keine Konzernprivileg, d.h. jede eigenständige Unternehmensheit ist zur Einhaltung des DSGVO verpflichtet
  7. Pannen beim Datenschutz müssen innerhalb von 72 Stunden nach Kenntnis gemeldet werden
  8. Die Bestellung eines – auch externen – Datenschutzbeauftragten ist Pflicht, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten
  9. Die Datenschutz-Aufsichtsbehörde der EU (EDSA) ist Anlaufstelle für internationale Organisationen
  10. Die Behörden können einen Verstoß gegen die DSGVO mit einem Bußgeld von bis zu 20 Mio. Euro oder vier Prozent des gesamt weltweit erzielten Jahresumsatzes ahnden

Quellen:
EU Datenschutz-Grundverordnung mit dem neuen BDSG (September 2017, 259 Seiten, Quelle: BSI)