Die Zeit läuft – jetzt die Datenschutzgrundverordnung umsetzen
Die EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Insbesondere für jene Unternehmen sind die Neuerungen relevant, die datengestütztes Marketing (zum Beispiel E-Mail-Marketing und Lead Management) betreiben. Nicht zuletzt aufgrund der damit verbundenen Dokumentationspflicht besteht dringender Handlungsbedarf.
Worum geht es?
Künftig werden Bürgern mehr Rechte an ihren persönlichen Daten eingeräumt. Daraus erwachsen höhere Anforderungen an die Transparenz beim Speichern von Informationen. So müssen Unternehmen detailliert nachweisen, woher sie E-Mail-Adressen, Telefonnummern etc. von Kontakten beziehen und zu welchem Zweck und in welcher Form sie diese speichern. Auch für verhaltensbasierte Daten, wie sie zum Beispiel beim Lead Management nach Website-Besuchen erhoben werden, soll künftig eine Einwilligung erforderlich sein.
Besonders herausfordernd dürften sich die neuen Bestimmungen für jene Unternehmen gestalten, die ihre Daten hausintern in mehreren unterschiedlichen Systemen speichern.
Wir haben einige zentrale Fragen zusammengefasst, die sich rund um die Gesetzesänderung stellen:
Wer ist betroffen?
Die neue Datenschutzgrundverordnung gilt für alle EU-Unternehmen sowie für Unternehmen, die zwar nicht in der EU niedergelassen sind, aber Daten von EU-Bürgern verarbeiten.
Was kann bei Nichtbeachtung passieren?
Wer die Verordnung nicht berücksichtigt, riskiert hohe Geldstrafen von bis zu 4 % des gesamten Jahresumsatzes (Artikel 83 Absatz 5, 6).
Was müssen Firmen tun?
Im Wesentlichen geht es um folgende Maßnahmen:
- Einwilligung einholen
Wer personenbezogene Daten erhebt und nutzt, benötigt dafür die Einwilligung der Betroffenen und muss dazu einen entsprechenden Nachweis erbringen. Daraus muss z. B. auch die Zweckbindung der Datenspeicherung hervorgehen.
- Privacy by Default umsetzen
Alle Voreinstellungen müssen so vorgenommen werden, dass möglichst wenige sowie ausschließlich zweckgebundene Daten vorgehalten werden.
- Dokumentieren
Unternehmen müssen umfangreiche Dokumentationen mit den Inhalten des Verzeichnisses gemäß Artikel 30 DSGVO anlegen und pflegen. Dafür sind jeweils klare Zuständigkeiten festzulegen.
- Löschprozesse ermöglichen
Gemäß dem „Recht auf Vergessenwerden“ müssen Unternehmen Vorkehrungen treffen, um Daten auf Verlangen zeitnah löschen zu können.
- Widerrufsrecht kommunizieren
Schon beim Einholen der Einwilligung zur Datenspeicherung muss auf das Widerrufsrecht hingewiesen werden.
Empfehlung: Noch in diesem Jahr aktiv werden
Jedes Unternehmen muss seinen individuellen Handlungsbedarf ermitteln, um angemessen auf die gesetzlichen Neuerungen reagieren zu können – eine allgemeingültige Formel gibt es dafür nicht. Organisationen sollten sich deshalb jetzt mit Unterstützung ihres Datenschutzbeauftragten und/oder Fachanwaltes über die neue Verordnung informieren und Maßnahmen starten. Dabei müssen insbesondere für die erforderliche Dokumentation in Verzeichnissen entsprechende Kapazitäten eingeplant werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) stellt dafür Vorlagen nach Artikel 30 DSGVO zur Verfügung.
Informationen zur Datenschutzgrundverordnung bietet der Bundesverband Digitale Wirtschaft (BVDW) auf folgenden Seiten an:
https://www.bvdw.org/themen/recht/eu-datenschutzgrundverordnung/