Thought Leadership
Bereits seit dem 24. Mai 2016 ist die Datenschutz-Grundverordnung (DSGVO) in ganz Europa gültig und selbst Unternehmen, die nicht in der EU ansässig sind, aber Daten von EU-Bürgern verarbeiten, müssen die DSGVO befolgen.
Trotz dieser eindeutigen Situation gibt es in ganz Deutschland immer noch Betriebe, die sich nicht an alle Vorschriften halten. Da das mit empfindlichen Bußgeldern einhergehen kann, möchten wir in diesem Artikel auf einige der grundlegenden Bestimmungen eingehen.
Betroffene Personen haben viele Rechte
Im Zuge des digitalen Wandels hat die Verarbeitung von Daten massiv zugenommen. Das ist nicht nur jetzt relevant, sondern war schon kurz nach der Jahrtausendwende ein zunehmend wichtiges Thema. Der wesentliche Unterschied zu heute ist, dass von Datenerhebung betroffene Personen früher kaum Rechte hatten. Inzwischen sieht die Situation ganz anders aus und Betroffene haben sogar sehr viele Rechte, die sie jederzeit wahrnehmen können, darunter ein Recht auf Auskunft, Berichtigung, Löschung und Übertragbarkeit. Nicht zuletzt gilt es, das Recht auf Widerspruch zu nennen. Grundsätzlich muss niemand einer Datenverarbeitung zustimmen. Extra für diesen Zweck gibt es auf fast allen Webseiten Cookie-Banner und bei Arztpraxen, Behörden oder Versicherungen ist es üblich, vor der Inanspruchnahme von Leistungen ein Formular zum Datenschutz auszufüllen.
Einige Unternehmen benötigen einen Datenschutzbeauftragten
Datenschutzbeauftragte sind Personen, die sicherstellen, dass sämtliche Datenschutzvorschriften eingehalten werden. Sie beraten die Geschäftsführung, nehmen Beschwerden entgegen, erstellen Richtlinien, schulen Mitarbeiter und unterstützen bei Kontrollen. Bei einem Datenschutzbeauftragten kann es sich um einen Mitarbeiter des Unternehmens handeln. Es ist aber natürlich auch möglich, einen externen Datenschutzbeauftragten zu engagieren. Die Frage ist nur, ob ein Datenschutzbeauftragter überhaupt erforderlich ist. Tatsächlich müssen nicht alle Unternehmen eine entsprechende Stelle besetzen. Um herauszufinden, ob eine Verpflichtung besteht, bietet sich ein Datenschutzbeauftragter Check an. Mit einem solchen können Unternehmen mit wenigen Klicks herausfinden, ob sie einen Datenschutzbeauftragten brauchen.
Datenerhebung erfordert legitime Zwecke
Wir können nicht einfach so Daten von irgendwelchen Personen erheben und diese nach Gutdünken nutzen. Es braucht einen oder mehrere legitime Zwecke, damit eine Datenerhebung rechtmäßig ist. Was einschränkend klingt, ist an sich gar nicht kompliziert, da es sich bei Buchhaltung, Kundensupport und Marketing allesamt um legitime Zwecke handelt. Wichtig ist nur, dass Kunden der Nutzung ihrer Daten zu den jeweiligen Zwecken explizit zugestimmt haben. Nur dann ist eine Verarbeitung rechtens.
Datenmenge sollte angemessen sein
Theoretisch können Unternehmen beliebig viele Daten von Kunden erheben, solange diese explizit zustimmen und die Erhebung rechtmäßig ist. Doch selbst wenn beides gegeben sein sollte, gilt immer noch der Grundsatz der Datenminimierung. Datenminimierung bedeutet, dass die Menge der personenbezogenen Daten dem Zweck angemessen sein muss. Sollte sie das notwendige Maß überschreiten, ist eine Löschung der überschüssigen Daten erforderlich. Ferner dürfen Daten nur so lange gespeichert werden, wie sie benötigt werden. Sobald das nicht mehr der Fall ist, bedarf es einer Anonymisierung.
Rechenschaftspflicht und Transparenz sind eng miteinander verbunden
Unternehmen müssen sowohl der Aufsichtsbehörde als auch ihren Kunden jederzeit nachweisen können, dass sie die geltenden Vorschriften einhalten. Diese Rechenschaftspflicht ist wenig überraschend mit einer hohen Transparenz der Datenverarbeitung verbunden. Aus diesem Grund ist eine der wichtigsten Voraussetzungen zur Einhaltung der DSGVO eine umfassende Datenschutzbestimmung. In der Datenschutzbestimmung erklärt das Unternehmen, wie es bei der Verarbeitung von personenbezogenen Daten vorgeht. Sie muss unter anderem Informationen zur Datenerhebung, Rechtsgrundlage und Speicherdauer enthalten.
Richtigkeit von Daten muss stets gewährleistet sein
Zum einen müssen alle erhobenen Daten richtig sein, zum anderen müssen Unternehmen alle erforderlichen Maßnahmen treffen, um personenbezogene Daten auf dem aktuellen Stand zu halten. Dafür bieten sich etwa regelmäßige E-Mails an, bei denen Kunden gefragt werden, ob ihre Daten noch aktuell sind. Die Richtigkeit von Daten ist auch wegen des Bundesdatenschutzgesetzes (BDSG) wichtig. Dabei handelt es sich um ein weiteres Gesetz, das deutsche Unternehmen neben der DSGVO befolgen müssen. Das BDSG ist eine Ergänzung zur DSGVO und spezifiziert die Situation in Deutschland. Es gibt schließlich einige Bereiche, in denen die EU ihren Mitgliedsstaaten Ermessensspielraum eingeräumt hat.
Sicherheit bei der Datenverarbeitung hat höchste Priorität
Durch die technologischen Fortschritte hat sich das Leben vieler Personen zum Besseren verändert. Allerdings bringt diese Entwicklung auch einige Schattenseiten mit sich. Eine davon ist das Risiko von Cyberkriminalität. Cyberkriminalität äußert sich nicht nur durch Ransomware im Stil von WannaCry, sondern auch Datendiebstahl ist weit verbreitet. Angesichts dieser Situation ist es verständlich, dass die DSGVO eine sichere Datenverarbeitung voraussetzt. Eine unbefugte oder unrechtmäßige Verarbeitung darf zu keinem Zeitpunkt möglich sein. Sie wird etwa durch Maßnahmen wie Maskierung, Tokenisierung oder Verschlüsselung sichergestellt. Sollten Daten von Personen in die Hände Unbefugter geraten, kann das unabhängig von der DSGVO zu erheblichen Schäden führen. Allein der mögliche Imageschaden kann einem Unternehmen zum Verhängnis werden.
(pd/juraforum.de)
