|
Was ist neu an der Datenschutz-Grundverordnung, kurz DSGVO?
Das deutsche Bundesdatenschutzgesetz ist eines der besten Gesetze in diesem Umfeld gewesen, das es gibt. Und es gilt auch weiterhin!
Wichtige Grundprinzipien wie die Zweckbindung, Datensparsamkeit und Datenminimierung, sowie das Verbot mit Erlaubnisvorbehalt
waren auch Grundsäulen des Bundesdatenschutzgesetzes und galten schon seit langer Zeit!
Einige Dinge wurden in der DSGVO jedoch verschärft, so zum Beispiel die Auskunfts- und Informationspflichten gegenüber den betroffenen Personen,
Dokumentationspflichten der verantwortlichen Stelle, Löschungsfristen oder Maßnahmen bei Datenvorfällen.
Den Meisten sind jedoch die drastischen Strafen ein Dorn im Auge, die bis zu 20 Mio. Euro oder 4% des gesamten, weltweiten Konzernumsatzes betragen können.
Viele werden jetzt wegen der angedrohten Strafen aktiv, obwohl sie schon längst mehr für den Datenschutz hätten tun müssen.
Das ist schade, aber auch ein Vorteil, denn endlich tut sich etwas!
Ebenfalls geändert hat sich, dass eine Strafe nun auch präventiv erhoben werden kann, und nicht erst nach einer vorgefallenen Auffälligkeit, einem Datenunfall.
Dazu reicht es, dass die verantwortliche Stelle eine vorgeschriebene Maßnahme nicht ordnungsgemäß umgesetzt hat.
Was das tatsächlich bedeutet, wird die Zukunft zeigen.
Ein entscheidender Vorteil der neuen Grundveriordnung ist aber in erster Linie ihr Gültigkeitsbereich. Erstmals gelten diese Datenschutzregeln einheitlich in ganz Europa.
Damit kann sich kein Unternehmen mehr dem Datenschutz entziehen, indem es seinen Sitz in ein europäisches Land verlegt,
das den Datenschutz nicht gebührend berücksichtigt.
Für wen gilt die Datenschutz-Grundverordnung, kurz DSGVO?
Diese Frage ist eigentlich ganz einfach zu beantworten:
Für jeden, der in irgendeiner Form personenbezogene Daten erhebt, speichert, verarbeitet oder weitergibt, und das in ganz Europa.
Auch außereuropäische Unternehmen, die in Europa aktiv sind, müssen die neue Grundverordnung umsetzen.
Ein besonderer Gruß an dieser Stelle geht an Mr. Zuckerberg!
Aber hier setzt auch ein wesentlicher Kritikpunkt der DSGVO an: Die Umsetzung kann sehr aufwändig werden und bedeutet ein hohes Risiko, etwas zu übersehen.
Die DSGVO muss aber von kleinen Unternehmen, Vereinen, ja sogar Einzelpersonen ebeso sorgfältig umgesetzt werden wie von großen, weltweit agierenden Konzernen.
Das bereitet vielen Kopfschmerzen und lässt sogar manche Kleinstadt, manchen Kleinbetrieb und leider auch viele Vereine die Internet-Präsenz abschalten.
Auch hier muss die Zukunft zeigen, dass mit dem richtigen Augenmaß gemessen wird.
Was ist zu tun?
Die DSGVO gilt eigentlich bereits seit Mai 2016. Am 25. Mai 2018 endet jedoch eine 2-jährige Übergangsfrist und jeder sieht damit die Einführung der Verordnung verbunden.
Die meisten Vorschriften waren auch schon Inhalt des Bundesdatenschutzgesetzes, und wer dies beachtet hat, ist immer schon auf dem richtigen Weg gewesen.
Wer bereits seine Verfahren beschrieben hat, muss diese ggfs. um einige Angaben wie z.B. genaue Löschungsfristen ergänzen.
Einwilligungserklärungen müssen neu erstellt und abgezeichnet werden, da diese meist nicht im erforderlichen Umfang auf die Rechte der Betroffenen
bzgl. Auskunft, Berichtigung, Löschung etc. der Daten hingewiesen haben. Kommen Verfahren zum Einsatz, die besondere Risiken für die personenbezogenen Daten Betroffener
beinhalten, wie z.B. einer Videoüberwachung oder oder andere neue Technologien, wie z.B. dem Einsatz von Fingerprintscannern, muss eine Folgenabschätzung erstellt werden.
Auf jeden Fall müssen nun beispielsweise Datenschutzhandlungen penibel dokumentiert und jeder Kunde auf seine Rechte hingewiesen werden.
Dies kann z.B. durch einen entsprechenden Aushang im Verkaufsraum erfolgen. Jeder sollte sich fragen:
- An welcher Stelle erhebe und speichere ich personenbezogenen Daten?
- Rechtfertigt ein Gesetz oder die Geschäftsbeziehung diese Datenerhebung oder
- Erhebe ich weitere Daten, die nur mit einer ausdrücklichen Genehmigung erhoben werden dürfen?
- Ist die Einwilligungserklärung, die ich vom Betroffenn einhole auf dem neuesten Stand?
- Sind die gespeicherten Daten und Datenträger sicher (verschlüsselt, mit Passwort versehen, regelmäßige Datensicherung)?
- Sind meine Datenverarbeitungsgeräte sicher (Virenschutz, Firewall, neueste Softwarestände, die auch aktualisiert werden)
- Werden die Daten wieder gelöscht, wenn sie nicht mehr benötigt werden?
- Bin ich in der Lage, Auskunft über meine gespeicherten Daten und eventulle Weitergaben geben?
Diese Liste kann beliebig fortgeführt werden und zeigt nur, dass jeder sich mit dieser Grundverordnung beschäftigen muss. |
