Neue Trends der Digitalisierung erhöhen die Bedeutung von Datenschutz in nahezu allen Industrien und Geschäftsbereichen. Vor diesem Hintergrund wurde im Mai 2016 die Datenschutz-Grundverordnung (DSGVO) veröffentlicht, die nun ab Mai 2018 EU-weit anzuwenden ist. Dabei sind einige neue und erhöhte Anforderungen zu beachten.
Betroffen sind alle Unternehmer, die personenbezogene Daten von natürlichen Personenverarbeiten. Der Begriff „Verarbeitung“ ist sehr weit gefasst: Darunter fällt nicht nur die automatisierte Verarbeitung von Daten, sondern bereits das Erheben oder Speichern von Daten. Somit unterliegt bereits eine Kundendatei, die nur Namen und Adressen von Kunden enthält, den Bestimmungen der DSGVO.
Wesentliche Vorgaben sind:
- Nachweispflicht der Einhaltung der Datenschutzbestimmungen gegenüber den Behörden
- Dokumentationspflichten („Verzeichnis von Verarbeitungstätigkeiten“)
- Informationspflichten gegenüber Personen, deren Daten verarbeitet werden, sowie Pflicht zur Berichtigung, Löschung und Übertragung von Daten
- Meldepflichten bei Datenzwischenfällen (Datenverlust, Hackerangriff) gegenüber Behörden und betroffenen Personen
- Durchführung und Dokumentation von regelmäßigen Risikobewertungen und Datenschutz-Folgeabschätzungen
- Ernennung eines Datenschutzbeauftragten in bestimmten Fällen
Bei einer Nichteinhaltung der DSGVO kann die Datenschutzbehörde eine Verwaltungsstrafevon bis zu 4% des Konzernumsatzes bzw. EUR 20 Millionen (je nachdem, welcher Wert höher ist) verhängen.
Als ersten Schritt sollte jeder Unternehmer den Istzustand in seinem Unternehmen erheben(Welche personenbezogenen Daten sind im Unternehmen gesammelt? Wo befinden sich die Daten? Wer kann darauf zugreifen? Wie sind diese Daten gesichert? Welche Schwachstellen könnte es geben?). Auf Basis dieses Istzustandes werden zeitgerecht weitere organisatorische und technische Maßnahmen zu setzen sein, um die Einhaltung der Datenschutzregelungen zu gewährleisten.