Wenn Sie ein Unternehmen besitzen oder für ein Unternehmen arbeiten, das Geschäfte mit einem in der Europäischen Union (EU) tätigen Unternehmen abschließt, haben Sie hoffentlich bereits etwas über die EU-Datenschutz-Grundverordnung (DSGVO) gehört.
Kurz gesagt, die DSGVO, die seit 2012 in Arbeit ist, wird die Datenschutzrichtlinie 95/46/EG ersetzen und den Datenschutz für alle Bürger in der gesamten EU verbessern. Unabhängig davon, ob Sie aktuelle und wiederholte oder zukünftige Transaktionen mit der EU haben, hier sind 10 Fakten, die Sie über die DSGVO wissen müssen, bevor sie im Mai 2018 in Kraft tritt.
1. Für wen gilt die DSGVO?
Unternehmen, die ihren Hauptsitz nicht in der EU haben, könnten davon ausgehen, dass die DSGVO sie nicht tangiert. Wenn Ihr Unternehmen jedoch persönliche Daten von EU-Bürgern verarbeitet, wird auch von Ihnen erwartet, dass Sie alle Datenschutzbestimmungen einhalten – unabhängig davon, wo Ihr Unternehmen sich befindet.
Wie können Sie wissen, ob Ihr Unternehmen personenbezogene Daten der EU verarbeitet? Wenn Sie Waren oder Dienstleistungen für Kunden oder Unternehmen in der EU anbieten, sammeln Sie persönliche Daten, die der DSGVO entsprechen müssen. Gleichzeitig wirkt sich die DSGVO stark auf die interne Kommunikation aus. Daher ist es wichtig, jetzt eine kompatible Plattform zu implementieren, damit persönliche Daten geschützt bleiben.
2. Welche spezifischen Verantwortlichkeiten gibt es?
Gemäß Artikel 4 der Datenschutz-Grundverordnung bestimmen Sie als Datenverantwortlicher, also als Privatperson, Behörde, Agentur oder andere Stelle, „die Zwecke und Mittel der Verarbeitung personenbezogener Daten“ von Kunden und Geschäfte.
Der sogenannte Verarbeitungsbeauftragte ist für die Verarbeitung der persönlichen Daten im Auftrag des Datenverantwortlichen zuständig. Zwar mag der Verarbeitungsbeauftragte zunächst wie ein Vermittler erscheinen, er obliegt jedoch der gesetzlichen Verpflichtung, Buch über persönliche Daten zu führen und deren allgemeine Sicherheit und Verarbeitung zu verbessern.
3. Sie müssen einen Datenschutzbeauftragten ernennen
Die DSGVO schreibt vor, dass alle Organisationen, die bestimmte Datenkategorien in großem Umfang verarbeiten, einen Datenschutzbeauftragten bestimmen, der die Verarbeitung und Einhaltung der DSGVO überwacht. Dies gilt auch für Behörden, die eine umfassende, auf Daten basierende Überwachung durchführen, wie beispielsweise die Verhaltensüberwachung.
4. Die Definition von „persönlichen Daten“ wird sich ändern
Bis anhin dachten wir im Zusammenhang mit Geschäftstransaktionen lediglich an persönliche Daten wie Konto- oder ID-Nummer, Adresse oder Geburtsdatum. Die DSGVO erweitert die Definition persönlicher Daten allerdings so, dass jegliche Informationen eingeschlossen werden, “die sich auf eine identifizierbare natürliche Person beziehen, die mittels Identifikator direkt oder indirekt identifiziert werden kann”. Als persönliche Daten werden jetzt auch soziale, mentale, wirtschaftliche, kulturelle und sogar genetische Informationen kategorisiert.
5. Es gibt eine Einhaltungsfrist
Sobald Sie feststellen, dass die DSGVO auf Ihr Unternehmen zutrifft, haben Sie bis zum 25. Mai 2018 Zeit, die Anpassungen vorzunehmen.
6. Es gibt Konsequenzen für die Nichteinhaltung
Alle, welche der DSGVO unterliegen und die Frist nicht einhalten, können mit einer Geldbuße bestraft werden, die zwischen 20 Millionen Euro und 4% des jährlichen weltweiten Umsatzes des Unternehmens liegen kann.
Geldstrafen können je nach Art der Nichteinhaltung variieren, beinhalten aber beispielsweise das Versäumnis, eine Datenpanne zu melden, das Versäumnis, Privatsphäre aufzubauen, und die unbefugte Übertragung persönlicher Daten. Stellen Sie sicher, dass Sie nur die DSGVO-konformen Kommunikationsmittel verwenden. Einige beliebte Messaging-Apps wie WhatsApp erfüllen die Anforderungen nicht und können zu hohen Strafen führen.
7. Pflicht einer eindeutigen Erklärung für die Erfassung persönlicher Daten
Viele Unternehmen sammeln persönliche Daten, ohne dass die andere Person davon weiß. Selbst wenn die Person, deren Daten gesammelt werden, nichts dagegen hat, muss es eine klare Erklärung geben, warum und wie die Informationen verwendet werden. Im Rahmen der Datenschutz-Grundverordnung ist die ausdrückliche Zustimmung ebenfalls ein Muss.
8. Ein Verstoß muss innerhalb von 72 Stunden gemeldet werden
Jede Verletzung, welche die Privatsphäre der Daten einer Person bedroht, muss innerhalb von 72 Stunden nach dem ersten Entdecken der Verletzung gemeldet werden. Wenn die DSGVO feststellt, dass sich die Berichterstattung verzögert, kann dem Unternehmen oder der Organisation eine Geldstrafe auferlegt werden.
9. Opfer müssen auf Risiken aufmerksam gemacht werden
Wenn ein Verstoß auftritt, muss das Unternehmen die betroffenen Personen sofort kontaktieren. Gemäß der DSGVO ist es nicht angebracht oder „ausreichend“, die Meldung eines Verstoßes durch eine Pressemitteilung, auf einer Website oder durch die Nutzung sozialer Medien zu veröffentlichen.
10. Die Einhaltung der DSGVO kann von einem Unternehmen zum nächsten abweichen
Die Einhaltung der DSGVO dürfte sich von Unternehmen zu Unternehmen erheblich unterscheiden. Die Übereinstimmung hat viel mit der Unternehmensgröße, den gesammelten persönlichen Daten sowie den angebotenen Waren und Dienstleistungen zu tun. Der beste Weg, um sicherzustellen, dass Ihr Unternehmen bis zum 25. Mai 2018 die Anforderungen erfüllt, ist die Einhaltung einer DSGVO-Checkliste. Es ist nicht zu spät, sich auf die Veränderungen vorzubereiten.