Unternehmen müssen die Erhebung und Weiterverarbeitung von personenbezogenen Daten in s.g. “Verarbeitungsverzeichnissen” dokumentieren und diese den Datenschutzbehörden zur Kontrolle zur Verfügung stellen
Die neue europäische Datenschutzgrundverordnung (DSGVO) tritt ab 25. Mai 2018 europaweit in Kraft. Ziel der Verordnung ist es, personenbezogene Daten besser zu schützen. Um zu unterstreichen, welchen Stellenwert die EU diesen Daten zumisst, wurden die Strafen für Verstöße erheblich nach oben gesetzt. Bei schweren Verstößen können die Datenschutzbehörden Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen oder aber 4% des weltweit erzielten Jahresumsatzes eines Unternehmens.
Die Bürger haben jetzt das Recht, jederzeit im Detail zu erfahren, welche Daten von Ihnen erhoben werden und wofür. Will ein Nutzer Auskunft über seine Daten, reicht eine E‑Mail an das Unternehmen aus — das Unternehmen ist verpflichtet, transparent und in verständlicher Sprache aufzulisten, welche personenbezogenen Daten wofür und wie lange erhoben werden. Nutzer können jetzt auch verlangen, dass ihre Daten gelöscht werden oder dass sie diese bekommen, um zu einem anderen Anbieter zu wechseln.
Kommt ein Unternehmen seiner Auskunfspflicht gegenüber dem Kunden / Nutzer nicht nach, kann dieser sich an eine Datenschutzbehörde wenden. Die Datenschutzbehörden sind zuständig für die Kontrollen und gegebenenfalls für die Verhängung von Bußgelder bei Verstößen gegen die DSGVO.
Unternehmen sind auf der sicheren Seite, wenn sie 1. eine dokumentierte, explizite Einwilligung ihrer Kunden bzw. Nutzer zur Erhebung von personenbezogenen Daten haben. Dies setzt voraus, dass die Kunden über Umfang, Zweck und Dauer der Datenerhebung vorab informiert sind. Und 2. ein “Verarbeitungsverzeichnis” vorweisen können, in dem dokumentiert ist, welche Daten zu welchen Zweck erhoben werden, wie lange diese aufgehoben und wie diese weiterverarbeitet werden, z.Bps. ob und an wen eine Weitergabe der Daten erfolgt.
Den Aufsichtsbehörden müssen diese Verzeichnisse der Verarbeitungstätigkeiten auf Anfrage zur Verfügung gestellt werden. Anhand dieser Verzeichnisse kontrollieren die Datenschutzbehörden, ob personenbezogene Daten DSGVO-konform verarbeitet werden.
Außerdem brauchen Unternehmen, die personenbezogene Daten erheben und verarbeiten einen Datenschutzbeauftragten, die sich um die Umsetzung der Datenschutzmaßnahmen kümmert und Ansprechpartner bei Kundenrückanfragen zum Datenschutz ist.
Eine Reihe dieser Maßnahmen haben wir bei PLUTEX im Rahmen unseres Datenschutzprogramms und der TÜV Süd-Zertifizierung für Informationssicherheit schon seit Jahren implementiert. Wie wir bei Plutex die DSGVO konkret umsetzen, erfahren Sie in einem weiteren Blogbeitrag, nächste Woche.
Weiterführende Links zur Datenschutzgrundverordnung (DSGVO):
Eine Vorlage für ein Daten-Verarbeitungsverzeichnis stellt die Bremer Datenschutzbehörde auf ihrer Website als pdf-Download zur Verfügung: https://www.datenschutz.bremen.de/sixcms/detail.php?gsid=bremen236.c.14925.de
Das offizielle PDF der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) übersichtlich aufbereitet, findet man hier: https://dsgvo-gesetz.de/
noyb — Verein zur Durchsetzung der persönlichen Rechte auf Datenschutz. noyb bringt auf Basis der neuen Möglichkeiten zur Rechtsdurchsetzung in der EU-Datenschutz-Grundverordnung private Datenschutzklagen ein: https://noyb.eu/