Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung zur Vereinheitlichung des Datenschutzes in den EU-Staaten. Die Umsetzung der neuen Rechtsvorschriften stellt selbst größere Unternehmen vor erhebliche Herausforderungen und sorgt teilweise mehr für Unsicherheit als für Klarheit.
Mit der DSGVO sind die Rechte von Personen an ihren Daten erheblich gestärkt worden. Daraus ergeben sich weitreichende Pflichten für Verwaltungen und Firmen jedweder Art, um den Betroffenen mehr Einfluss auf den Umgang und die Verarbeitung ihrer Daten zu verschaffen. Die mittlerweile verhängten Strafen der Regulierungsbehörden bei Verstößen gegen die DSGVO - Normen bewegen sich durchaus bis in sechsstellige Bereiche.
Zielte die Europäische Union vor allem auf große Konzerne wie Google und Facebook, deren technologische Fähigkeiten in der Datenerhebung und -verarbeitung am weitesten fortgeschritten sind, gelten die DSGVO - Vorgaben allerdings ebenso für mittlere und kleine Firmen.
Keinesfalls sollte man dem Irrtum erliegen, dass die Regulierungsbehörden nicht so genau hinsehen werden. Nicht zuletzt deshalb, weil fehlende geeignete Prozesse für den Schutz von Daten sich auch nachteilig auf die Gunst der Kunden auswirken können.
Bei einer Verarbeitung personenbezogener Daten entstehen immer auch Risiken für die betroffenen Personen. Daher sieht die DSGVO unabhängig von sonstigen Bestimmungen vor, dass durch geeignete Vorkehrungen, z.B. technische und organisatorische Maßnahmen (TOMs) diese Risiken so weit wie möglich reduziert werden. Deshalb ist in der DSGVO das Instrument einer Datenschutz - Folgenabschätzung (DSFA) fest verankert.
Eine DSFA ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten und regelmäßig dann durchzuführen, wenn ein voraussichtlich hohes Risiko für diese Rechte und Freiheiten besteht.
Generell sind die Rechte von Personen, deren Daten gespeichert oder verarbeitet werden sollen, erheblich gestärkt worden. Es ergeben sich daraus im Wesentlichen folgende Pflichten mit dem Umgang von personenbezogenen Daten.
Hier auszugsweise und verkürzt:
Das Transparenzgebot:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen und Mitteilungen auf präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache zu übermitteln.
Die Informationspflicht:
Der Verantwortliche hat zum Zeitpunkt der Erhebung personenbezogener Daten, dies der betroffenen Person voll umfassend mitzuteilen, wenn ihre Daten bei ihr erhoben wurden. Dies gilt ebenfalls, wenn die Daten bei Dritten erhoben wurden.
Auskunftsrecht:
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung zu verlangen, ob die sie betreffende Daten gespeichert und verarbeitet werden. Ist das der Fall, so hat sie ein Recht auf Auskunft, die Herkunft und weiterer Informationen über diese Daten.
Recht auf Berichtigung und Löschung:
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Darüber hinaus sind die Daten umgehend zu löschen, wenn sie den in der DSGVO näher beschriebenen Kriterien nicht mehr genügen. Für den Verantwortlichen besteht eine Bestätigung bzw. Mitteilungspflicht über die vollzogenen Maßnahmen.
Recht auf Einschränkung der Verarbeitung:
Die betroffene Person hat das Recht von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen. Insbesondere dann, wenn die Richtigkeit gespeicherter Daten bestritten wird, die Datenverarbeitung unrechtmäßig ist oder für die Zwecke der Verarbeitung nicht mehr benötigt werden o.ä..
Recht auf Datenübertragbarkeit:
Die betroffene Person hat das Recht, die sie betreffenden und von ihr bereitgestellten personenbezogenen Daten einem anderen Verantwortlichen zu übermitteln. Der bisherige Datenhalter hat diese in einem gängigen Format zur Verfügung zu stellen.
Widerspruchsrecht:
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Nach erfolgtem Widerspruch dürfen die sie betreffenden personenbezogenen Daten nicht mehr zur Direktwerbung genutzt werden.
Verzeichnis aller Verarbeitungstätigkeiten:
Jeder Verantwortliche ist verpflichtet ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die ihrer Zuständigkeit unterliegen. Ziel ist es, alle datenschutzrelevanten Abläufe übersichtlich darzustellen. Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Sollte sich eine Nutzung der Daten im Sinne der DSGVO als problematisch erweisen oder besondere Gefährdungen für die Rechte und Freiheiten natürlicher Personen beinhalten, ist zusätzlich eine „Datenschutz Folgeabschätzung“ zu erstellen.
So weit in Auszügen das Anforderungsprofil DSGVO. Hinzu kommt der mögliche Verlust von personenbezogenen Daten an unbefugte Dritte, beispielsweise durch den Datenverlust im Rahmen einer IT-Sicherheitslücke. In diesem Fall ist das betroffene Unternehmen unter bestimmten Voraussetzungen verpflichtet, die betroffenen Kunden sowie die Aufsichtsbehörden innerhalb von 72 Stunden über den Vorfall zu unterrichten. Wohl ein Albtraumszenario für jedes Unternehmen. Es empfiehlt sich daher, geeignete Datenverschlüsselungstechnologien zu implementieren, um sicherzustellen dass Kundendaten auch im schlimmsten möglichen Fall geschützt sind.
Der Umgang mit dem o.a Gesetz und mit den persönlichen Daten der Kunden wird sich künftig zu einem entscheidenden Wettbewerbsmerkmal entwickeln. Nicht zuletzt deshalb wird die Entwicklung vergleichbarer Regularien mittlerweile auch jenseits der EU diskutiert.
Durch die sich beständig weiter verändernde digitale Welt ist auch der Schutz der Daten ein fortlaufender, dynamischer Prozess. Unternehmen sollten daher ihre Erhebungs-, Verarbeitungs- und Sicherungsprozesse regelmäßig überprüfen. Dies ist ein wesentliches Kriterium für eine starke Position im Marktwettbewerb.