Unternehmen sollten sich auf die neuen Datenschutzrichtlinien einstellen. (c) Thinkstock/KrulUA
Unternehmen sollten sich auf die neuen Datenschutzrichtlinien einstellen. (c) Thinkstock/KrulUA
Datenschutz-Grundverordnung

Was Unternehmen jetzt wissen müssen (2)

Die Datenschutz-Grundverordnung (kurz „DSGVO“) wird mit Wirkung zum 25. Mai 2018 geltendes Recht. Unternehmen und Organisationen müssen sich im Zuge dessen europaweit auf zahlreiche Änderungen einstellen. Was die neuen Pflichten und Handlungserfordernisse für Unternehmen konkret bedeuten, erklärt dieser Zweiteiler.
Jan O. Baier

Die Datenschutz-Grundverordnung (kurz „DSGVO“) wird mit Wirkung zum 25. Mai 2018 geltendes Recht. Auf einige wichtige Änderungen ging bereits der erste Teil des Beitrags vergangene Woche ein. Im zweiten Teil geht es nun um die gesteigerten Informations- und Dokumentationspflichten sowie den Umgang mit Verstößen.

7. Welche gesteigerten Anforderungen gelten für die Dokumentationspflichten?

Da Unternehmen nach der DSGVO eine Rechenschaftspflicht trifft, muss schriftlich nachgewiesen werden können, dass die Verarbeitungsgrundsätze der DSGVO eingehalten werden. Dies bedeutet konkret, dass Unternehmen nun insgesamt überprüfen sollten, welche personenbezogenen Daten in welcher Abteilung und in welchem System wie gespeichert werden und welche rechtliche Grundlage hierfür besteht.

So muss zum Beispiel im Marketing festgestellt werden, welche Kundendaten und E-Mail-Adressen wo liegen, wie diese zur (personalisierten) Ansprache und auf welcher Grundlage (Einwilligung etc.) genutzt werden.

Außerdem muss für die einzelnen gespeicherten Daten geprüft werden, welche Aufbewahrungspflichten und Löschfristen zu beachten sind. All diese Angaben müssen schließlich in einem sogenannten Verzeichnis über Verarbeitungstätigkeiten (Art. 30 DSGVO) festgehalten werden, welches etwa bei Verfahren vor den Aufsichtsbehörden vorgelegt werden kann.

Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in sehr beschränktem Umfang und nur gelegentlich Daten verarbeiten. In der Praxis dürfte daher die Pflicht zum Führen der entsprechenden Verzeichnisse eher die Regel bilden als die Ausnahme.

8. Welche gesteigerten Anforderungen gelten für die Informationspflichten?

Erhebt ein Unternehmen personenbezogene Daten, gibt es künftig einen relativ umfangreichen Katalog an Informationen, die in einer klaren und einfachen Sprache bereitgestellt werden müssen (Art. 12, 13 DSGVO). Daraus folgt insbesondere, dass Unternehmen ihre Datenschutzerklärungen auf Webseiten überprüfen und ergänzen müssen. Die neuen Transparenzanforderungen gelten allerdings keinesfalls nur für Webseiten und Apps.

Unter anderem sind zukünftig folgende zusätzlichen Informationen anzugeben:

  • Falls ein Datenschutzbeauftragter bestellt ist, Kontaktdaten des Datenschutzbeauftragten,
  • Angaben zur Rechtsgrundlage der jeweiligen Verarbeitung,
  • Dauer der Speicherung der Daten oder Kriterien für die Festlegung dieser Dauer,
  • Hinweis zu Rechten des Betroffenen (Art. 15 bis 21 DSGVO) auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit,
  • Hinweis zum Beschwerderecht bei einer Aufsichtsbehörde,
  • wenn die Verarbeitung auf einer Einwilligung beruht, Hinweis zur jederzeitigen Widerrufbarkeit.

9. Was gilt hinsichtlich Löschpflichten („Recht auf Vergessenwerden“)?

Eines der Prinzipien der DSGVO ist das in Art. 5 formulierte Prinzip der Speicherbegrenzung und das korrespondierende Recht auf Löschung (sogenanntes „Recht auf Vergessenwerden“, vgl. Art. 17 DSGVO). Unternehmen müssen daher künftig sicherstellen, dass personenbezogene Daten ohne unangemessene Verzögerung gelöscht werden, sofern kein Grund zur Aufbewahrung mehr besteht oder für den Fall, dass die betroffene Person Widerspruch gegen die Verarbeitung einlegt. Es gibt zwar auch einige Ausnahmen von den Löschpflichten. Diese Ausnahmeregelungen sind jedoch insgesamt enger gefasst als im bisherigen Recht. Es ist deshalb höchste Zeit, dass Unternehmen Löschkonzepte und Löschroutinen erarbeiten und implementieren.

10. Wann muss ich Datenschutzvorfälle melden?

Die DSGVO sieht umfassendere Meldepflichten gegenüber den Aufsichtsbehörden sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor, als dies bislang der Fall war. Eine sehr wichtige Neuerung stellt insoweit die vorgesehene Frist von 72 Stunden dar, innerhalb der Datenschutzverletzungen nach Bekanntwerden spätestens gemeldet werden müssen. Ausnahmsweise besteht keine Pflicht zur Meldung bei der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen führt. Um dies in jedem Fall zu prüfen, sollte ein entsprechender Prozess im Unternehmen etabliert werden.

11. Wie teuer sind Verstöße?

Die DSGVO muss ernst genommen werden. Je nach Verstoß können die Aufsichtsbehörden allen datenverarbeitenden Stellen künftig Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Derzeit sind nach deutschem Recht Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich.

Fazit

Die DSGVO bringt gegenüber dem bisherigen Datenschutzrecht einige gravierende Neuerungen. Alle Unternehmen und Organisationen sind daher gut beraten, sich nun mit den notwendigen Anpassungen der Prozesse und Arbeitsabläufe auseinanderzusetzen. Ein Schwerpunkt sollte dabei auf die Erfüllung der gestiegenen Transparenz- und Dokumentationspflichten gelegt werden, um Bußgelder zu vermeiden.

 

 
 


randbemerkung

Bitte achten Sie bei Ihren Beiträgen unsere Netiquette.

Das könnte Sie auch interessieren.

Die Datenschutzgrundverordnung der EU bringt neue Informationspflichten und drakonische Bußgelder mit sich. (c) Getty Images/gustavofrazao
Foto: Getty Images/gustavofrazao
Lesezeit 4 Min.
Ratgeber

Hilfe, die DSGVO kommt!

Es bleibt nicht mehr viel Zeit, sich auf die neuen Datenschutzbestimmungen vorzubereiten. Was sich bei externer und interner Kommunikation ändern wird, haben zwei Juristen zusammengefasst. »weiterlesen
 
Auch die investigative Recherche von Journalisten hat rechtliche Grenzen. (c) Getty Images/Viktor_Gladkov
Foto: Getty Images/Viktor_Gladkov
Lesezeit 3 Min.
Ratgeber

Wie Sie sich gegen Investigative wehren können

Eine Reporterin hat sich als Praktikantin ausgegeben und heimlich Filmaufnahmen in Ihrer Firma gemacht. Müssen Sie nun zusehen, wie die Berichterstattung ihren Lauf nimmt? Mitnichten. Eine Vielzahl von Maßnahmen bietet sich an. »weiterlesen
 
Big Data wird das Berufsbild von Kommunikatoren verändern. Müssen nun alle zu Data Scientists werden? (c) Aleutie/Getty Images
Bild: Aleutie/Getty Images
Lesezeit 3 Min.
Lesestoff

Wie Big Data den PR-Beruf verändern wird

Unternehmen sitzen auf einem Schatz an Informationen über ihre Stakeholder. Der Großteil der deutschen Kommunikatoren ist sich darüber einig, dass Big Data ihre Profession substanziell verändern wird. Müssen sie nun alle zu Data Scientists werden? »weiterlesen
 
Konsequenter Datenschutz ist immer auch eine Frage des Bewusstseins der Mitarbeiter. (c) Penelope Graßhoff/GettyImages
Foto: Penelope Graßhoff/GettyImages
Lesezeit 3 Min.
Gastbeitrag

So wird die Interne Kommunikation DSGVO-konform

Auf die Datenschutzgrundverordnung der Europäischen Union, die am 25. Mai in Kraft tritt, sollten auch interne Kommunikationsabteilungen gut vorbereitet sein. Worauf unter anderem bei Mitarbeiter-Apps zu achten ist, erklärt Beekeeper-Chef Cristian Grossmann. »weiterlesen
 
Mit der Blockchain-Technologie könnte sich auch die Kommunikation verändern. (c) Thinkstock/LuckyStep48
Foto: Thinkstock/LuckyStep48
Lesezeit 2 Min.
Lesestoff

Blockchain – Vertrauen in Ketten

Die Blockchain soll mehr Sicherheit und Demokratie ins Internet bringen. Für Kommunikatoren kommt dieser Aspekt wie gerufen. »weiterlesen
 
Die gute Laune vergeht Niko Härting (links) bei dem Thema DSGVO schnell. Der Datenschutzexperte sieht massive Probleme auf die Öffentlichkeitsarbeit zukommen. (c) Jana Legler
Foto: Jana Legler
Lesezeit 5 Min.
Bericht

Problem erkannt, Gefahr verkannt?

Experten warnen auf einer Fachkonferenz des Bundesverbands deutscher Pressesprecher vor den Auswirkungen der EU-Datenschutzgrundverordnung. Ministeriumsvertreter wiegeln ab. Die „Phase der Unsicherheit“ wird andauern – womöglich so lange, bis das erste Gericht ein Urteil fällen muss. »weiterlesen