Unternehmen sollten sich auf die neuen Datenschutzrichtlinien einstellen. (c) Thinkstock/KrulUA
Unternehmen sollten sich auf die neuen Datenschutzrichtlinien einstellen. (c) Thinkstock/KrulUA
Datenschutz-Grundverordnung

Was Unternehmen jetzt wissen müssen (2)

Die Datenschutz-Grundverordnung (kurz „DSGVO“) wird mit Wirkung zum 25. Mai 2018 geltendes Recht. Unternehmen und Organisationen müssen sich im Zuge dessen europaweit auf zahlreiche Änderungen einstellen. Was die neuen Pflichten und Handlungserfordernisse für Unternehmen konkret bedeuten, erklärt dieser Zweiteiler.
Jan O. Baier

Die Datenschutz-Grundverordnung (kurz „DSGVO“) wird mit Wirkung zum 25. Mai 2018 geltendes Recht. Auf einige wichtige Änderungen ging bereits der erste Teil des Beitrags vergangene Woche ein. Im zweiten Teil geht es nun um die gesteigerten Informations- und Dokumentationspflichten sowie den Umgang mit Verstößen.

7. Welche gesteigerten Anforderungen gelten für die Dokumentationspflichten?

Da Unternehmen nach der DSGVO eine Rechenschaftspflicht trifft, muss schriftlich nachgewiesen werden können, dass die Verarbeitungsgrundsätze der DSGVO eingehalten werden. Dies bedeutet konkret, dass Unternehmen nun insgesamt überprüfen sollten, welche personenbezogenen Daten in welcher Abteilung und in welchem System wie gespeichert werden und welche rechtliche Grundlage hierfür besteht.

So muss zum Beispiel im Marketing festgestellt werden, welche Kundendaten und E-Mail-Adressen wo liegen, wie diese zur (personalisierten) Ansprache und auf welcher Grundlage (Einwilligung etc.) genutzt werden.

Außerdem muss für die einzelnen gespeicherten Daten geprüft werden, welche Aufbewahrungspflichten und Löschfristen zu beachten sind. All diese Angaben müssen schließlich in einem sogenannten Verzeichnis über Verarbeitungstätigkeiten (Art. 30 DSGVO) festgehalten werden, welches etwa bei Verfahren vor den Aufsichtsbehörden vorgelegt werden kann.

Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in sehr beschränktem Umfang und nur gelegentlich Daten verarbeiten. In der Praxis dürfte daher die Pflicht zum Führen der entsprechenden Verzeichnisse eher die Regel bilden als die Ausnahme.

8. Welche gesteigerten Anforderungen gelten für die Informationspflichten?

Erhebt ein Unternehmen personenbezogene Daten, gibt es künftig einen relativ umfangreichen Katalog an Informationen, die in einer klaren und einfachen Sprache bereitgestellt werden müssen (Art. 12, 13 DSGVO). Daraus folgt insbesondere, dass Unternehmen ihre Datenschutzerklärungen auf Webseiten überprüfen und ergänzen müssen. Die neuen Transparenzanforderungen gelten allerdings keinesfalls nur für Webseiten und Apps.

Unter anderem sind zukünftig folgende zusätzlichen Informationen anzugeben:

  • Falls ein Datenschutzbeauftragter bestellt ist, Kontaktdaten des Datenschutzbeauftragten,
  • Angaben zur Rechtsgrundlage der jeweiligen Verarbeitung,
  • Dauer der Speicherung der Daten oder Kriterien für die Festlegung dieser Dauer,
  • Hinweis zu Rechten des Betroffenen (Art. 15 bis 21 DSGVO) auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit,
  • Hinweis zum Beschwerderecht bei einer Aufsichtsbehörde,
  • wenn die Verarbeitung auf einer Einwilligung beruht, Hinweis zur jederzeitigen Widerrufbarkeit.

9. Was gilt hinsichtlich Löschpflichten („Recht auf Vergessenwerden“)?

Eines der Prinzipien der DSGVO ist das in Art. 5 formulierte Prinzip der Speicherbegrenzung und das korrespondierende Recht auf Löschung (sogenanntes „Recht auf Vergessenwerden“, vgl. Art. 17 DSGVO). Unternehmen müssen daher künftig sicherstellen, dass personenbezogene Daten ohne unangemessene Verzögerung gelöscht werden, sofern kein Grund zur Aufbewahrung mehr besteht oder für den Fall, dass die betroffene Person Widerspruch gegen die Verarbeitung einlegt. Es gibt zwar auch einige Ausnahmen von den Löschpflichten. Diese Ausnahmeregelungen sind jedoch insgesamt enger gefasst als im bisherigen Recht. Es ist deshalb höchste Zeit, dass Unternehmen Löschkonzepte und Löschroutinen erarbeiten und implementieren.

10. Wann muss ich Datenschutzvorfälle melden?

Die DSGVO sieht umfassendere Meldepflichten gegenüber den Aufsichtsbehörden sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor, als dies bislang der Fall war. Eine sehr wichtige Neuerung stellt insoweit die vorgesehene Frist von 72 Stunden dar, innerhalb der Datenschutzverletzungen nach Bekanntwerden spätestens gemeldet werden müssen. Ausnahmsweise besteht keine Pflicht zur Meldung bei der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen führt. Um dies in jedem Fall zu prüfen, sollte ein entsprechender Prozess im Unternehmen etabliert werden.

11. Wie teuer sind Verstöße?

Die DSGVO muss ernst genommen werden. Je nach Verstoß können die Aufsichtsbehörden allen datenverarbeitenden Stellen künftig Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Derzeit sind nach deutschem Recht Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich.

Fazit

Die DSGVO bringt gegenüber dem bisherigen Datenschutzrecht einige gravierende Neuerungen. Alle Unternehmen und Organisationen sind daher gut beraten, sich nun mit den notwendigen Anpassungen der Prozesse und Arbeitsabläufe auseinanderzusetzen. Ein Schwerpunkt sollte dabei auf die Erfüllung der gestiegenen Transparenz- und Dokumentationspflichten gelegt werden, um Bußgelder zu vermeiden.

 

 
 

ps/NEWS: Der Newsletter für PR-Profis

 

Ob wichtige Nachrichten, Hintergründe, Case Studies oder aktuelle Debatten: Mit den ps/NEWS erhalten Sie die wichtigsten Informationen der Kommunikationsbranche kostenlos in Ihre Mailbox.
 



randbemerkung

Bitte achten Sie bei Ihren Beiträgen unsere Netiquette.

Das könnte Sie auch interessieren.

Im Berufsalltag für Heiko Kunert unverzichtbar: ein Computer mit Sprachausgabe und eine Braillezeile, die den Bildschirminhalt in Blindenschrift wiedergibt. (c) Guenther Schwering
Foto: Guenther Schwering
Lesezeit 5 Min.
Interview

„Alle haben ein Recht auf Inklusion“

Heiko Kunert ist ausgebildeter PR-Berater und blind. Ein Gespräch über Stereotype, Vorurteile und warum er möchte, dass Menschen mit Behinderung zu Fachthemen befragt werden. »weiterlesen
 
Das Gründungsteam der Initiative: PRCC-Geschäftsführer Thomas Lüdeke (l.) und Philip Müller (r.) mit Community-Managerin Katharina O’Sullivan. (c) PRCC
Foto: PRCC
Lesezeit 1 Min.
Meldung

PRCC startet „Modern-Leaders-Initiative“

Eine Initiative soll Führungskräften Raum für vertrauensvollen Austausch zu zeitgemäßer Führung und Kommunikation bieten. »weiterlesen
 
Biontech könnte als eines der ersten Unternehmen eine Zulassung für seinen Impfstoff gegen Covid-19 erhalten. (c) Picture Alliance/Laci Perenyi
Foto: Picture Alliance / Laci Perenyi
Lesezeit 5 Min.
Lesestoff

Wettlauf um den besten Impfstoff

Das Mainzer Unternehmen und Pfizer stehen vor der Zulassung ihres Covid-19-Impfstoffs. Die Kommunikation dürfte mit darüber entscheiden, welche der verschiedenen Impfstoffkandidaten als die besten angesehen werden. Biontech bietet jedenfalls eine gute Story. »weiterlesen
 
Geschlechtergerechte Sprache wird bei Microsoft Deutschland auch mithilfe des „Gendersternchens“ umgesetzt. (c) Getty Images/Syuzanna Guseynova
Foto: Getty Images/Syuzanna Guseynova
Lesezeit 2 Min.
Gastbeitrag

Inklusion mit Sternchen

Immer mehr Organisationen achten in ihrer Kommunikation auf eine geschlechtergerechte Sprache. Warum Microsoft Deutschland gendert und welche Erfahrungen das Unternehmen damit gemacht hat, berichtet Projektleiterin Paula Auksutat. »weiterlesen
 
Der Weg führt weg vom generischen Maskulinum. (c) Getty Images/ AlbertPego
Foto: Getty Images/ AlbertPego
Lesezeit 4 Min.
Ratgeber

Der Weg zur inklusiven Sprache

Als Leiterin der Kommunikationsabteilung der Stadt Hannover führte Annika Schach vor etwa zwei Jahren die geschlechtergerechte Sprache in der niedersächsischen Landeshauptstadt ein. Wie sollten Organisationen vorgehen, die eine genderneutrale Sprache verwenden wollen? »weiterlesen
 
Bei Bayer-Hauptversammlungen demonstrieren regelmäßig NGOs und Aktivisten. Für Medien ein beliebter Aufhänger für ihre Berichterstattung. (c) picture alliance/SvenSimon/Malte Ossowski
Foto: picture alliance/SvenSimon/Malte Ossowski
Lesezeit 5 Min.
Gastbeitrag

Kein Interesse an der Gegenthese

Christian Maertin wirft Journalisten vor, dass sie immer seltener an Themen unvoreingenommen herangehen. Die Sicht von Unternehmen kommt ihm zu kurz. NGOs seien überrepräsentiert. Die Bayer-Kommunikation ändert deshalb ihre Strategie: Sie will künftig Fragenkataloge nicht mehr jedes Mal mit mehreren Seiten beantworten, sondern häufiger nur noch wenige Sätze liefern, die als griffige Zitate dienen. »weiterlesen