Was sich durch durch die DSGVO verändert
Die neue europäische Datenschutz-Grundverordnung beinhaltet eine ganze Reihe neuer Regelungen und Verpflichtungen, die für Unternehmen einen teilweise erheblichen Umstellungsaufwand bedeuten können.
Wenn die DSGVO (oder GDPR für General Data Protection Regulation) in Kraft tritt, gilt in der gesamten EU und ist keine Richtlinie mehr, sondern eine verpflichtende Verordnung. Den einzelnen Mitgliedsländern ist relativ wenig Gestaltungsspielraum für eine eigene Auslegung gegeben. Zudem gilt die GDPR nicht nur für europäische Unternehmen, sondern auch für alle ausländischen, die in der EU aktiv sind.
Zu den Neuerungen und Pflichten der DSGVO gehören:
- Das Verarbeitungsverzeichnis der Daten muss noch detaillierter geführt werden.
- Eine Datenschutz-Folgenabschätzung ist für die Verarbeitung besonders sensibler Daten notwendig. Dazu gehören Patientenakten oder personenbezogene Daten über Herkunft, Sprache, Religion, sexuelle Orientierung, etc..
- Die Meldepflicht im Fall von Datendiebstahl verkürzt sich auf maximal 72 Stunden. Das bedeutet, dass hierfür Prozesse definiert werden müssen, die eine formal korrekte und detaillierte Meldung innerhalb dieser kurzen Frist ermöglichen.
- Die technische Infrastruktur für die Verarbeitung persönlicher Daten muss dem Prinzip „Privacy by Design“ folgen, sprich alle Sicherheits- und Datenschutzanforderungen der DSGVO müssen in ihrer grundlegenden Funktionsweise erfüllt werden.
- Die Anwendungen, über welche Nutzer ihre persönlichen Daten eingeben oder verwalten, müssen dem Prinzip „Privacy by Default“ folgen. Das bedeutet, dass die Voreinstellungen einer Anwendung den Nutzer klar und verständlich über die weitere Verwendung seiner Daten informieren müssen.
- Die Nichteinhaltung der Verordnung wird mit Strafen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes geahndet.
Zudem bekommen Nutzer eine Reihe neuer Rechte:
- Erweitertes Recht auf Information: Unternehmen haben gegenüber Nutzern eine deutlich erweiterte Informationspflicht über die Verwendung ihrer Daten.
- Das Recht auf Berichtigung persönlicher Daten wird verstärkt.
- Das Recht auf Vergessen wird eingeführt: Nicht nur müssen Unternehmen persönliche Daten auf Wunsch der Nutzer löschen, sondern auch alle etwaigen Backups und Kopien davon. Zudem dürfen sie keine persönlicher Daten mehr speichern, für die keine explizite Erlaubnis vorliegt.
- Recht auf Datenübertragbarkeit: Betreiber von SaaS-Angeboten (Software-as-a-Service) müssen persönliche Daten und Nutzungsdaten in einer Form vorhalten, die es Nutzern erlaubt, auf ein Konkurrenzangebot zu wechseln.
In Vorbereitung auf die Erlangung einer Konformität mit der neuen Verordnung werden Unternehmen folgende Fragen beantworten müssen:
- Sind wir uns über den Umfang der gesetzlichen Anforderungen und Verpflichtungen der DSGVO bewusst?
- Haben wir die geeignete technische Infrastruktur, um personenbezogene Daten gemäß DSGVO zu verarbeiten?
- Haben wir die für die Verarbeitung und den Schutz personenbezogener Daten notwendigen Prozesse definiert?
- Gibt es eine interne Datenschutzrichtlinie, die allen Mitarbeitern bekannt ist?
Der Technologieverband Bitkom hat verschiedene Praxisleitfäden und Hilfestellungen zur neuen Datenschutzverordnung veröffentlicht.