©Quelle: Thüringer Tourismus GmbHAm 25. Mai werden die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz die bisher geltenden Datenschutzregelungen vollständig ablösen. Die neuen Regelungen gehen weit über die bisherigen Anforderungen des deutschen Datenschutzrechts hinaus. Unternehmen müssen dann ihre internen Prozesse auf die neuen Anforderungen umgestellt haben.
Welche Daten sind betroffen?
Die DSGVO regelt den Schutz personenbezogener Daten. Dazu gehören alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es ist jedes Unternehmen betroffen, dass personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern automatisiert oder nichtautomatisiert verarbeitet.
Wann ist die Verarbeitung erlaubt?
Die DSGVO ist ein Verbot mit Erlaubnisvorbehalt, das heißt, eine Datenverarbeitung ist grundsätzlich verboten. Nur, wenn sie gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, darf sie erfolgen. Zudem sind personenbezogene Daten grundsätzlich unmittelbar beim Betroffenen selbst zu erheben. Falls die Daten nicht vom Betroffenen stammen, ist dieser über die Quelle seiner Daten zu informieren.
Welche Rechte bestehen?
Die betroffene Person muss wissen, welche Daten für welchen Zweck verarbeitet und an welche Stellen innerhalb oder außerhalb der Europäischen Union die Daten weitergegeben werden oder eine Weitergabe beabsichtigt ist. Daher gibt es umfangreiche Betroffenenrechte, wie Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten oder Widerspruchsrechte.
Wofür darf man Daten nutzen?
Die Daten dürfen nur für festgelegte, eindeutige Zwecke erhoben werden. Sie dürfen nicht für andere Zwecke weiterverarbeitet werden. Ausnahmen sind vorgesehen für Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen müssen. Es sollen so wenig personenbezogene Daten wie möglich verarbeitet werden und Daten sollen möglichst pseudonymisiert und anonymisiert werden.
Wie lange können Daten genutzt werden?
Personenbezogene Daten dürfen nur solange verarbeitet werden, wie dies für die Zweckerreichung notwendig ist. Werden Daten nicht mehr benötigt, sind sie zu löschen. Auch unrichtige Daten müssen berichtigt oder gelöscht werden.
Welche Schutzmaßnahmen sind nötig?
Die DSGVO verknüpft Datenschutz und Datensicherheit eng miteinander. Sie verlangt Datensicherheitsmaßnahmen, die sich am Risiko der Datenverarbeitung ausrichten. Hierbei ist der Stand der Technik angemessen zu berücksichtigen. Zudem müssen Prozesse schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können.
Was muss dokumentiert werden?
Jedes Unternehmen muss die Einhaltung der Datenschutzprinzipien nachweisen können. Dazu ist eine Dokumentation notwendig – natürlich abhängig von der Größe des Unternehmens, der Menge und der Qualität der Daten. Aber auch in kleineren und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Wie wird kontrolliert?
Die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes können von den Aufsichtsbehörden verhängt werden. Für leichtere Verstöße gegen Pflichten aus der DSGVO ist ein Bußgeld von maximal zehn Millionen Euro oder von zwei Prozent des weltweiten Jahresumsatzes vorgesehen.
Wichtige Internetadressen mit Informationen und Hilfen zur Umsetzung der DSGVO
IHK-Informationen zum neuen Datenschutzrecht
www.gera.ihk.de/Recht_und_Steuern/datenschutz
Kurzpapiere der unabhängigen Datenschutzbehörden
www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3
GDD-Praxishilfen zur Datenschutzgrundverordnung
www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V.
www.bvdnet.de/home/impressum
Aufsichtsbehörde für den Datenschutz in Thüringen
www.tlfdi.de
IHK-Seminar zur neuen EU-Datenschutz-Grundverordnung
Wann & Wo? 9. April 2018, 9:00-16:00 Uhr, IHK-Bildungszentrum Gera
Anmeldung: www.gera.ihk.de
