10 Punkte für den Einstieg in die neue Datenschutz-Grundverordnung

10 Punkte für den Einstieg in die neue Datenschutz-Grundverordnung

Bereiten Sie sich jetzt auf die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) vor. Der Zehn-Punkte-Plan von Intrum vereinfacht Ihnen den Einstieg.

Die Datenschutz-Grundverordnung der EU wird viele Unternehmen in Europa betreffen. Sind Sie bereit für die Veränderungen?

Im Mai 2016 hat die EU eine Datenschutz-Grundverordnung erlassen. Diese neue Verordnung schreibt, sobald sie im Mai 2018 in Kraft tritt, nach einer zweijährigen Übergangsphase neue operative Anforderungen für Unternehmen beim Umgang mit personenbezogenen Daten vor.

Da die Definition von „personenbezogenen Daten“ sehr weit gefasst ist, werden die meisten Unternehmen in ihren Geltungsbereich fallen. Damit Ihnen der Einstieg gelingt, haben wir für Sie den folgenden Zehn-Punkte-Plan zusammengestellt:

  1. Zeigen Sie, dass Sie die Vorschriften befolgen

Die neue Verordnung verlangt, dass Unternehmen, welche personenbezogene Daten verwalten, in der Lage sind, nachzuweisen, dass  sie mit personenbezogenen Daten auf die erforderliche Weise  umgehen.

In der Praxis bedeutet das, dass Sie ein Register der Datenverarbeitungsvorgänge, für die Ihr Unternehmen verantwortlich ist, führen müssen, um nachweisen zu können, dass sie den Vorschriften entsprechen.

  1. Stellen Sie sicher, dass Ihnen die notwendigen Zustimmungen vorliegen

Wenn die Handhabung personenbezogener Daten die Zustimmung einer Person bedarf, müssen Sie nachweisen können, dass Ihnen diese Zustimmung erteilt wurde.

Darüber hinaus werden die Anforderungen für eine gültige Zustimmung in der Zukunft strenger werden:

Die Zustimmung muss eindeutig mittels einer schriftlichen, elektronischen oder gesprochenen Erklärung erteilt werden. Die Zustimmung muss zeigen, dass die Person freiwillig, selbstbestimmt, bewusst und ausdrücklich den Wunsch geäußert hat, dass sie der Verwendung ihrer persönlichen Daten zustimmt. Normalerweise geschieht das durch Anklicken eines Kästchens zur Erteilung der Zustimmung.

 Durchsetzung des Rechts auf Vergessenwerden

Ein neues Thema, das mit der Verordnung eingeführt werden wird, ist das Recht der registrierten Person, vergessen zu werden. In der Praxis beschreibt dies das Recht, dass die Daten dieser registrierten Person aus Ihren Datenbanken gelöscht werden.

Eine solche Situation kann eintreten, wenn die Person die Zustimmung, die sie Ihnen bereits für die Nutzung ihrer persönlichen Daten erteilt hat, zurückzieht. Erfolgte die Verwendung der personenbezogenen Daten jedoch auf rechtlicher Grundlage, besteht für Sie keine Verpflichtung zur Löschung dieser Daten.

Falls Sie verpflichtet sind, die Daten zu löschen, müssen Sie wiederum alle Unternehmen, welche diese Daten von Ihnen erhalten oder veröffentlicht haben, informieren. Dadurch wird gewährleistet, dass alle Links, Duplikate und Kopien im Zusammenhang mit dem Datenmaterial gelöscht werden.

  1. Durchsetzung des Rechts auf Datenbewegung

Gegenwärtig hat jeder das Recht, seine eigenen Daten in einem maschinenlesbaren Format zu erhalten und sie an einen anderen Registerverwalter zu übermitteln.

Dieses Recht gilt auch für personenbezogene Daten, die eine Person durch ihre Zustimmung oder eine Vereinbarung geliefert hat. Diese Verpflichtung zwingt Sie jedoch nicht, Datenverarbeitungssysteme, die technisch kompatibel sind, zu genehmigen oder beizubehalten.

  1. Verbot der Profilerstellung kann Sie betreffen

Jeder hat das Recht, nicht Gegenstand einer Entscheidung zu werden, die auf automatischer Datenverarbeitung basiert und die sich gerichtlich oder anderweitig maßgebend auf sie auswirken würde. Dies bedeutet, dass Sie keine wichtige Entscheidung treffen dürfen, die sich basierend auf einem automatischen Datenprozess auf eine Person auswirkt.

Eine Ausnahme von diesem „Profilerstellungsverbot“ käme dann zur Geltung, wenn die Entscheidung für die Abwicklung eines Vertrags zwischen einer Person und Ihrem Unternehmen erforderlich ist. Sie müssen sicherstellen, dass Ihre Profilerstellungs- und Entscheidungsmodelle dem Gesetz entsprechen und dass jegliche erforderlichen Änderungen vorgenommen werden.

Ein gängiges Beispiel für eine Ausnahmeregelung innerhalb des Profilerstellungsverbots wäre das Treffen von Kreditentscheidungen. Diese Entscheidungen basieren oft auf automatisierten Klassifizierungssystemen und Entscheidungsempfehlungen.

  1. Informierung über Datensicherheitsverstöße

Zukünftig werden Sie verpflichtet sein, die Behörden und registrierten Personen über jegliche Datensicherheitsverstöße zu informieren. Darunter fallen Situationen, in denen Rechte und Freiheiten einer Einzelperson verletzt werden. In solchen Situationen müssen Sie Folgendes unternehmen:

Sie müssen die Behörden innerhalb von 72 Stunden nach dem Verstoß informieren. Zudem müssen Sie alle vom Verstoß betroffenen Personen informieren, sobald der Sicherheitsverstoß ein erhebliches Risiko deren Rechte und Freiheiten darstellt.

Um diesen Verpflichtungen nachzukommen und einen effizienten sowie korrekten Ablauf gewährleisten zu können, ist es wichtig, dass Sie interne Anweisungen erstellen und entsprechende Prozesse definieren.

  1. Informierung über Ihre Datenverarbeitung

Weltweit und mehr als je zuvor sammeln heute Unternehmen personenbezogene Daten. Um die EU-Verordnung in Zukunft zu erfüllen, müssen Sie im Vergleich zu früheren Anforderungen mehr Informationen über die Datenverarbeitung aushändigen.

Das bedeutet für Sie, dass Sie die Speicherzeit für personenbezogene Daten angeben müssen. Falls Ihnen dies nicht möglich ist, müssen Sie über diejenigen Kriterien Auskunft geben können, die zur Festlegung der Speicherzeit verwendet werden.

In der Praxis bedeutet das beispielsweise, das Register und die Datensicherheitsdokumente zu aktualisieren sowie Überlegungen dazu anzustellen, wie die registrierten Personen in der Praxis informiert werden.

  1. Die Aufgabe des neuen Datenschutzbeauftragten

Mit zunehmendem Fokus auf Datenschutz müssen Sie möglicherweise einen Datenschutzbeauftragen mit der Handhabung der personenbezogenen Daten Ihres Unternehmens betrauen. Organisationen, die beispielsweise einen Datenschutzbeauftragten benötigen, sind Unternehmen, bei denen eine umfangreiche, regelmäßige und systematische Überwachung von Personen oder derer Kernaktivitäten besteht. Wir empfehlen Ihnen, vor diesem Hintergrund zu beurteilen, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten benötigen.

  1. Die Auslagerung der Handhabung personenbezogener Daten erfordert Schutzmaßnahmen von Ihnen

Wenn Sie einen Teil Ihres Datenprozesses an ein anderes Unternehmen ausgelagert haben und dieses Unternehmen personenbezogene Daten in Ihrem Auftrag handhabt, gibt es einige Dinge, die Sie beachten müssen:

Sie müssen sicherstellen, dass ausreichende technische und organisatorische Schutzmaßnahmen vorhanden sind, welche die Vorschriften erfüllen. Sie müssen gewährleisten, dass die Rechte der registrierten Personen geschützt werden.

Für die Praxis bedeutet das, dass Sie im Unternehmen solche Situationen identifizieren müssen, für die eine Auslagerung der personenbezogenen Daten angebracht ist. Bei der Auslagerung dieser müssen Sie gewährleisten können, dass alle entsprechenden Verträge korrekt geschlossen werden. Beispielsweise wird bereits die Speicherung von Daten in Cloud-Services als Auslagerung erachtet, selbst wenn der Dienstleistungsanbieter die Daten nicht aktiv verarbeitet.

  1. Verstöße können zu hohen Geldstrafen führen

Wichtig für Sie ist auch zu wissen, dass zusätzlich zu einer Verwarnung eine hohe Geldstrafe für die Verletzung der Datenschutzverordnung ausgesprochen werden kann. Diese Geldstrafe kann sich bis auf maximal EUR 20 Millionen oder 4 Prozent des Gesamtumsatzes Ihres Unternehmens belaufen.