In Kürze wird eine neue Datenschutzverordnung eingeführt

Bereiten Sie sich jetzt auf die Einführung der EU-Datenschutz-Grundverordnung vor. Hier sind zehn Tipps, wie Sie sich auf die neue Verordnung vorbereiten können.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?

Im Mai 2016 erließ die EU eine neue Datenschutz-Grundverordnung. Es ist bekannt, dass die neue Verordnung am 25. Mai 2018 nach einer zweijährigen Übergangszeit ihre unmittelbare Geltung entfaltet und dann für Unternehmen, die mit personenbezogenen Datenarbeiten, neue Betriebsanforderungen gelten.

Da die Definition von „personenbezogenen Daten“ sehr weit gefasst ist, betrifft die neue Verordnung eigentlich fast alle Unternehmen. Es verbleiben noch etwas mehr als 260 Arbeitstage, bevor die Datenschutz-Grundverordnung in Kraft tritt. Wir haben zehn Punkte für Sie zusammengestellt, damit Sie sich ab sofort vorbereiten können.


1. Weisen Sie nach, dass Sie die Verordnungen befolgen
Die neue Verordnung schreibt vor, dass derjenige, der das Verzeichnis von Verarbeitungstätigkeiten hinsichtlich personenbezogener Daten führt, nachweisen kann, dass die personenbezogenen Daten in der erforderlichen Weise verarbeitet werden.

Was bedeutet das in der Praxis?

Sie müssen ein Register aller Datenverarbeitungsvorgänge, die Ihrer Verantwortung unterliegen, führen um nachzuweisen, dass die Verordnung eingehalten wird.

2. Versichern Sie sich der Zustimmung
Wenn der Umgang mit personenbezogenen Daten auf der Einwilligung einer Person beruht, müssen Sie nachweisen können, dass diese auch rechtsgültig zugestimmt hat.

Außerdem werden die Zustimmungsanforderungen zukünftig strenger:

  • Die Zustimmung muss unmissverständlich und eindeutig in schriftlicher, elektronischer oder mündlicher Form erklärt werden.
  • Der Empfänger der Einwilligung muss nachweisen, dass die Person freiwillig, personalisiert, bewusst und eindeutig (spezifisch) zum Ausdruck gebracht hat, dass sie die Verwendung ihrer personenbezogenen Daten akzeptiert.
  • Üblicherweise bei Online erteilten Einwilligungen wird die Zustimmung durch das Anklicken eines Kontrollkästchens erklärt.

3. Setzen Sie das Recht auf Vergessenwerden um
Im Rahmen der Verordnung wird ein neues Thema eingeführt - dabei handelt es sich um das Recht einer Person auf Vergessenwerden. In der Praxis bedeutet dies das Recht auf die Datenlöschung einer Person aus Ihren Datenbanken.

Eine solche Situation kann eintreten, wenn eine Person, die bereits eine Zustimmung zur Verwendung ihrer personenbezogenen Daten gegeben hat, diese widerruft. Wenn die Verwendung der personenbezogenen Daten jedoch auf einer anderen Rechtsgrundlage erfolgt, besteht keine Verpflichtung zum Löschen der Daten bei Widerruf der Zustimmung.

Wenn Sie verpflichtet sind, Daten zu löschen, müssen Sie alle Unternehmen darüber informieren, die die Daten erhalten oder veröffentlicht haben. Dadurch wird sichergestellt, dass alle Verknüpfungen, Duplikate und Kopien mit Bezug zu den personenbezogenen Daten ebenfalls gelöscht werden.

4. Setzen Sie das Recht auf Datenübertragung um
Derzeit hat jeder das Recht, seine eigenen Daten in einem maschinenlesbaren Format zu erhalten und diese an einen anderen Dateihalter zu übertragen.

Dieses Recht gilt auch für personenbezogene Daten, die eine Person über Zustimmung oder eine Vereinbarung bereitgestellt hat.

5. Verbot der Erstellung eines Persönlichkeitsprofils kann auch auf Sie zutreffen
Jede Person hat das Recht, nicht zum Gegenstand einer Entscheidung über automatische Datenverarbeitung zu werden, die gerichtliche oder andere erhebliche Auswirkungen auf sie haben könnte. Anders gesagt bedeutet das, dass Sie basierend auf automatischer Datenverarbeitung keine wichtigen Entscheidungen treffen können, die sich auf eine andere Person auswirken.

Eine Ausnahme dieses „Verbots der Erstellung eines Persönlichkeitsprofils“ wäre, wenn die Entscheidung für den Abschluss eines Vertrags zwischen der Person und Ihrem Unternehmen notwendig ist. Sie müssen sicherstellen, dass Ihre Profilerstellungs- und Entscheidungsmodelle die Gesetze befolgen und dass notwendige Änderungen vorgenommen wurden. 

Ein gängiges Beispiel einer Verbotsausnahme von der Erstellung eines Persönlichkeitsprofils ist das Fällen von Kreditentscheidungen. Diese Entscheidungen beruhen oft auf automatisierten Klassifizierungssystemen und Entscheidungsempfehlungen.

6. Informieren Sie über eine Datenschutzverletzung
Zukünftig müssen Sie die Datenschutzaufsichtsbehörde über Datenschutzverletzungen informieren. Dazu gehören auch Situationen, in denen die Rechte und Freiheiten einer Einzelperson verletzt werden. Falls diese Situationen eintreten, müssen Sie folgende Dinge sicherstellen:

  • Sie müssen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach der Datenschutzverletzung informieren.
  • Wenn die Wahrscheinlichkeit vorhanden ist, dass eine Datenschutzverletzung die Rechte und Freiheiten der betroffenen Personen beträchtlich gefährden, müssen diese über die Datenschutzverletzungen informiert werden.

Um diesen Verpflichtungen nachzukommen, ist es wichtig, dass Sie interne Anweisungen und Verfahren erstellen, die einen effizienten und angemessenen Prozessablauf sicherstellen.

7. Informieren Sie über Ihre Datenverarbeitung
Weltweit erfassen Unternehmen mehr personenbezogene Daten als jemals zuvor. Um auch in Zukunft die EU-Verordnungen zu erfüllen, müssen Sie nun mehr Informationen über die Datenverarbeitung bereitstellen als bisher.

Das bedeutet für Sie, dass Sie die Speicherzeit für personenbezogene Daten angeben müssen. Oder, falls das nicht möglich ist, müssen Sie über die angewandten Kriterien zur Bestimmung der Speicherzeit informieren.

Das bedeutet in der Praxis zum Beispiel, dass die Verfahrensregister- und Datensicherheitsdokumente aktualisiert werden müssen. Außerdem müssen Sie sich Gedanken darüber machen, wie die einzelnen Personen in der Realität informiert werden.

Die Informationspflichten sind zukünftig an Formvorschriften gebunden und sollten sowohl zur eigenen Dokumentation als auch im Interesse der betroffenen Person schriftlich oder in elektronischer Form erfolgen.

8. Die Rolle des neuen Datenschutzbeauftragten
Die zunehmende Ausrichtung am Datenschutz kann es erforderlich machen, dass Sie einen Datenschutzbeauftragten für die Verarbeitung von personenbezogenen Daten ernennen. Ein Beispiel für Organisationen, die einen Datenschutzbeauftragten benötigen, sind Unternehmen, die umfangreiche, regelmäßige und systematische Überwachung von Personen durchführen oder deren Kernaktivitäten aus einer solchen Überwachung bestehen.  In diesem Zusammenhang empfehlen wir Organisationen, die bisher keinen Datenschutzbeauftragten bestellen mussten, zu prüfen, ob in Ihrem Fall Bedarf an einem Datenschutzbeauftragten besteht.

9. Die Auslagerung der Verarbeitung von personenbezogenen Daten führt zu einer Ausweitung der Verantwortlichkeiten
Wenn Sie einen Teil der Datenverarbeitung an ein anderes Unternehmen ausgelagert haben, das die personenbezogenen Daten in Ihrem Namen verarbeitet, gibt es ein paar Dinge zu beachten:

  • Der Auftragsverarbeiter ist neben dem Auftraggeber nunmehr mitverantwortlich
  • Sie müssen sicherstellen, dass geeignete technische und organisatorische Schutzmaßnahmen die Anforderungen der Verordnungen erfüllen.
  • Sie müssen sicherstellen, dass die Rechte der registrierten Personen geschützt sind.

Das bedeutet in der Praxis, dass Sie die Situationen bestimmen müssen, in denen eine Auslagerung angemessen ist und dass Sie sicherstellen, dass alle Verträge richtig aufgesetzt werden. Die Speicherung von Daten in Cloud-Services wird ebenfalls als Auslagerung angesehen, auch wenn der Dienstleister die Daten nicht aktiv verarbeitet.

10. Verstöße können zu hohen Geldstrafen führen
Hervorzuheben ist auch, dass Sie zusätzlich zu einer Verwarnung eine hohe Geldstrafe für Verstöße gegen die Datenschutz-Grundverordnung erhalten können. Die Geldstrafe kann bis zu 20 Millionen Euro oder 4 Prozent des Unternehmens- bzw. Konzernumsatzes betragen.