Neue EU-Datenschutz-Grundverordnung: Auf Betriebe kommen Änderungen zu

Wozu sind Unternehmen verpflichtet?

Im Artikel 25 EU-DS-GVO ist festgehalten, dass Unternehmen "geeignete organisatorische und technische Maßnahmen" ergreifen müssen, um die Rechte der Betroffenen (Informationsrecht, Auskunfts- und Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung, Recht auf Datenübertragbarkeit neu) zu garantieren. Grundlage dafür ist ein sogenanntes "Verzeichnis von Verarbeitungstätigkeiten". Dieses muss folgende Angaben enthalten:
 

• Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
   
• Zweck der Verarbeitung
   
• Kategorien von betroffenen Personen und personenbezogenen Daten
   
• Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (gilt auch für Drittländer bzw. internationale Organisationen)
   
• Im Idealfall: vorgesehene Fristen für die Löschung der verschiedenen Kategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
   

Besondere Pflichten (Datenschutzbeauftragter, Datenschutz-Folgenabschätzung und Meldepflicht)

Wenn das Geschäftsmodell eines Unternehmens im Kern auf der Verarbeitung personenbezogener Daten beruht - was im Handwerk eher selten vorkommt - muss künftig immer ein Datenschutzbeauftragter bestellt werden.

Wenn ein hohes Risiko für Missbrauch besteht (zum Beispiel durch neue Technologien, besonders sensible Daten oder systematische Überwachung von Personen) muss eine Datenschutz-Folgenabschätzung durch das Unternehmen erstellt werden. Wenn diese ergibt, dass ein besonders hohes Risiko vorhanden ist, muss dies zusätzlich der Aufsichtsbehörde gemeldet werden.

Die Behörde und auch der Betroffene selbst müssen auch prinzipiell bei jeder Schutzverletzung von personenbezogenen Daten benachrichtigt werden. Dies muss unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme ausgelöst werden.
 

Änderungen in der Auftragsdatenverarbeitung

Unternehmen dürfen nun auch Verträge zur Auftragsdatenverarbeitung außerhalb des EU-Raums schließen. Außerdem müssen die Verträge nicht mehr zwingend in Papierform vorliegen sondern dürfen auch elektronisch vereinbart werden.

An den Grundsätzen der Auftragsdatenverarbeitung ändert sich nichts. Der für die Verarbeitung Verantwortliche muss sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Allerdings haftet er nun mit dem Auftragsverarbeiter gemeinsam gegenüber dem Betroffenen.

Der Gesetzgeber nimmt den Auftragsverarbeiter künftig mehr in die Pflicht: Er muss nun - wie der Unternehmer auch - ein Verzeichnis von Verarbeitungstätigkeiten zu führen, die durch den Auftrag bei ihm anfallen. Auch die Höhe der Sanktionen hat der Gesetzgeber drastisch erhöht: bei Verstößen gegen Art. 28 ff. EU-DSGVO drohen Geldbußen in Höhe von zwei Prozent des insgesamt erzielten Umsatzes, mindestens aber 10 Millionen Euro.

Das sollten Betriebe prüfen:

• Wo fallen in meinem Unternehmen personenbezogene Daten an?
   
• Ist meine Datenschutzerklärung (insbesondere auf der Webseite) noch aktuell? (Habe ich eine datenschutzkonforme Erklärung zu im Unternehmen eingesetzten sozialen Medien, Formularen, Cookies, Analyse-Werkzeugen, Targeting-Werkzeugen…?)
   
• Habe ich bereits eine Übersicht über die Verarbeitungstätigkeiten, die in meinem Unternehmen anfallen?
   
• Welche rechtlichen, organisatorischen und technischen Maßnahmen muss ich noch umsetzen, um alle Anforderungen zu erfüllen?