Die Datenschutz-Grundverordnung (DSGVO), die ab dem 25. Mai 2018 europaweit in Kraft tritt, hat das Ziel, personenbezogene Daten besser zu schützen und die Transparenz bei der Verarbeitung dieser Daten zu erhöhen. Unternehmen sind verpflichtet, die Erhebung und Verarbeitung von personenbezogenen Daten in sogenannten "Verarbeitungsverzeichnissen" zu dokumentieren und diese bei Bedarf den Datenschutzbehörden zur Kontrolle vorzulegen.
Die DSGVO unterstreicht den hohen Stellenwert, den die EU dem Schutz personenbezogener Daten beimisst, durch drastisch erhöhte Strafen für Verstöße: Bei schweren Verstößen können die Datenschutzbehörden Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes eines Unternehmens verhängen.
Um die Einhaltung der DSGVO zu gewährleisten, haben die Bürger das Recht, jederzeit detaillierte Informationen darüber zu erhalten, welche Daten von ihnen erhoben werden und zu welchem Zweck. Sie können auch verlangen, dass ihre Daten gelöscht werden oder dass sie diese erhalten, um sie an einen anderen Anbieter weiterzugeben.
Kommt ein Unternehmen seinen Informationspflichten gegenüber dem Kunden nicht nach, kann dieser sich an eine Datenschutzbehörde wenden. Die Datenschutzbehörden sind zuständig für die Kontrollen und gegebenenfalls für die Verhängung von Bußgeldern bei Verstößen gegen die DSGVO.
Um auf der sicheren Seite zu sein, sollten Unternehmen sicherstellen, dass sie über eine dokumentierte, explizite Einwilligung ihrer Kunden zur Erhebung von personenbezogenen Daten verfügen und ein "Verarbeitungsverzeichnis" führen. In diesem Verzeichnis sollte dokumentiert sein, welche Daten zu welchem Zweck erhoben werden, wie lange diese aufbewahrt und wie sie weiterverarbeitet werden, einschließlich etwaiger Datenweitergaben an Dritte.
Darüber hinaus ist es für Unternehmen, die personenbezogene Daten erheben und verarbeiten, wichtig, einen Datenschutzbeauftragten zu haben. Dieser kümmert sich um die Umsetzung der Datenschutzmaßnahmen und dient als Ansprechpartner bei Kundenanfragen zum Datenschutz.
Eine Reihe dieser Maßnahmen wurden bereits im Rahmen des Datenschutzprogramms von PLUTEX und der TÜV Süd-Zertifizierung für Informationssicherheit implementiert. Wie PLUTEX die DSGVO konkret umsetzt, erfahren Sie in einem weiteren Blogbeitrag nächste Woche.
Für weitere Informationen zur Datenschutz-Grundverordnung (DSGVO) empfehlen wir folgende Ressourcen:
1. Die Bremer Datenschutzbehörde bietet eine Vorlage für ein Daten-Verarbeitungsverzeichnis als PDF-Download auf ihrer Website an: [Link]
2. Das offizielle PDF der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) ist hier übersichtlich aufbereitet: [Link]
3. Der Verein noyb setzt persönliche Rechte auf Datenschutz auf Basis der neuen Möglichkeiten zur Rechtsdurchsetzung in der EU-Datenschutz-Grundverordnung durch private Datenschutzklagen durch: [Link]