neu

EU-Datenschutz-Grundverordnung: Deutlich mehr Aufwand für Unternehmen

Ab 25. Mai 2018 greift die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union. Sie hilft Menschen, ihre persönlichen Daten besser zu schützen. Unternehmen müssen sich jetzt auf höheren Aufwand einstellen.

Persönliche Daten sind wertvoll. Doch nur wenige Menschen haben einen klaren Blick dafür, wer ihre Daten hat - und was derjenige mit ihnen anstellt. Die EU hat deswegen durchgegriffen und räumt den Bürgern nun mehr Rechte bei der Einsicht und Verwaltung ihrer Informationen ein. Die neue Datenschutz-Grundverordnung der EU tritt Ende Mai 2018 in Kraft und bietet Personen einen deutlich größeren Spielraum bei der Kontrolle ihrer persönlichen Daten. Für Unternehmen bedeutet das: Sie müssen ihren Datenschutz grundlegend umbauen, ihre Datensätze gegebenenfalls sichten, organisieren und besser durchsuchbar machen. Im Folgenden stellen wir die Änderungen im Detail vor.

Eindeutige Einwilligung bei Datenerhebung

Ab Ende Mai 2018 dürfen Unternehmen personenbezogene Daten ausschließlich mit einer eindeutigen Einwilligung der Betroffenen erheben. Das bedeutet: Die Einwilligung darf nicht durch schon im Voraus angekreuzt sein, sondern muss auf einer eindeutig bestätigenden Handlung basieren - etwa durch selbstständiges Auswählen eines Informationsfeldes. So wird sichergestellt, dass sich Betroffene der Verarbeitung personenbezogener Daten bewusst sind.

Zudem muss der Zweck der Datenerhebung bei der Einwilligung klar definiert und verständlich dargestellt sein. Sollte sich der Zweck im Laufe der Zeit verändern, muss das Unternehmen die Betroffenen nicht nur darüber informieren. Dieser muss auch hierzu eindeutig einwilligen. Darüber hinaus haben Betroffene jederzeit die Möglichkeit einer Datenverarbeitung zu widersprechen. Wie genau dieser Widerspruch abläuft, muss ebenfalls direkt bei der Einwilligung erklärt sein.

Mehr Kontrolle für Betroffene

Unternehmen sind auch verpflichtet, Betroffenen auf Anfrage alle gespeicherten personenbezogenen Daten zu übermitteln. Zusätzlich zu diesen Informationen müssen der Zweck der Datenverarbeitung, die entsprechende Rechtsgrundlage und das berechtigte Interesse des Unternehmens zur Datenverarbeitung genannt werden. Auch die Speicherdauer sowie die Kriterien zur Festlegung der Dauer sowie gegebenenfalls Drittempfänger sind Betroffenen mitzuteilen.

Umfassender als bislang sind zudem die Löschung und Sperrung personenbezogener Daten geregelt. Ändert das Unternehmen den Verarbeitungszweck, steht es Betroffenen frei die Löschung der personenbezogenen Daten zu verlangen. Zudem müssen die personenbezogenen Daten auch bei Widerruf der Datenverarbeitung gelöscht werden. Ist die Löschung personenbezogener Daten bspw. aufgrund gesetzlicher Aufbewahrungspflichten nicht möglich, können Betroffene auch die Sperrung personenbezogener Daten beantragen und somit eine Datenverarbeitung über die rechtlichen Verpflichtungen des Unternehmens hinaus verhindern.

Neu hinzugekommen ist das Recht aufs "Vergessenwerden": Demnach müssen Unternehmen nicht nur unternehmensintern gespeicherte personenbezogene Daten löschen, sondern auch weitere Datenverarbeiter, zum Beispiel Suchmaschinenbetreiber, zur Löschung der betreffenden Daten auffordern. Insbesondere Jugendlichen ermöglicht die neue EU-DSGVO somit einen "sauberen" Übergang in die digitale Volljährigkeit: Personenbezogene Daten aus der Jugend können gelöscht werden und ersparen später eventuell die ein oder andere peinliche Überraschung.

Neue Regelungen zum Profiling

Mit Einführung der EU-DSGVO haben Betroffene - also auch Internetnutzer - das Recht, dem Profiling bspw. mittels IP-Adressen oder Cookies zu widersprechen. Damit soll verhindert werden, dass Algorithmen automatisierte und für Betroffene gegebenenfalls nachteilige Entscheidungen fällen. Um ein Profiling durchzuführen, müssen Unternehmen daher zukünftig ihr berechtigtes Interesse zur Datenverarbeitung nachweisen sowie Nutzer über die Durchführung hinweisen und aufklären. Gemäß der Interpretation von Datenschutz-Experten sollte man zukünftig erwarten, dass Standard-Webseitenanalysen durchgeführt werden. Ein detailliertes Profiling zum Beispiel auf Grundlage von Standort und demographischen Daten scheint jedoch ohne die explizite Einwilligung der Betroffenen nicht mehr möglich. Die Verarbeitung besonderer personenbezogener Daten wie beispielsweise der ethnischen Herkunft, sexuellen Orientierung oder auch biometrischer Daten ist gemäß EU-DSGVO ohne die Einwilligung Betroffener untersagt.

Datenschutz jetzt auf Vordermann bringen

Unternehmen sollten die Frist zur Einführung eines EU-konformen Datenschutz-Managements nicht versäumen. Immerhin drohen Geldbußen von bis zu vier Prozent des Jahresumsatzes, diese Summen können ein Unternehmen nachhaltig schaden. In der Verordnung liegt für Unternehmen jedoch auch die Chance zur Verbesserung der eigenen Reputation - wenn sie jetzt rasch und entschlossen ihren Datenschutz umbauen.

Über den Autor

Christian Dietzmann ist Unternehmensberater bei EWERK Consulting mit Fokus auf Compliance und Organisationsberatung.

Author image
Liebt Digitalisierung, Finanzmärkte und alles, was unsere Gesellschaft bewegt.
Leipzig