EU-Datenschutzverordnung - Was gilt es zu beachten

Datenschutzgrundverordnung: Diese Punkte gilt es zu beachten

Ab dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung. Die neuen Regelungen zum Datenschutz betreffen jedes Unternehmen, das personenbezogene Daten von Kunden sammelt, speichert oder verarbeitet – und teure Bußgelder drohen.

Ziel der neuen Datenschutzgrundverordnung ist es, den Schutz personenbezogener Daten von EU-Bürgern über Landesgrenzen hinweg zu vereinheitlichen und für das digitale Zeitalter anzupassen. Sie gilt auch für Unternehmen mit Sitz außerhalb der EU, solange diese Daten von EU-Bürgern verarbeiten, etwa für US-Clouddienste oder soziale Netzwerke.

Weitreichenden Änderungen

Auch Firmen, die bereits Datenschutzmaßnahmen umgesetzt haben, müssen sich rechtzeitig auf die weitreichenden Änderungen einstellen. Denn die EU-Verordnung geht zum Teil weit über die Anforderungen des bisherigen Bundesdatenschutzgesetzes hinaus.

So ist die Definition dessen, was „personenbezogene Daten“ ausmacht, sehr weit gefasst. Die neue EU-Verordnung sieht hier alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen, mit eingeschlossen – also Namen, Adressdaten, Telefonnummern, Geburtsdaten, Kontodaten und Standortdaten, aber auch IP- und Email-Adressen.

Jedes Unternehmen, das solche Daten erhebt, verarbeitet oder nutzt, muss dazu eine entsprechende Erlaubnis oder die explizite Einwilligung der betroffenen Person vorweisen können. Die Möglichkeit zum Opt-Out – etwa aus einem Newsletter – anzubieten, ist nicht ausreichend. EU-Bürger haben das Recht zu verlangen, dass ihre personenbezogenen Daten gelöscht oder gesperrt werden, falls keine Berechtigung vorliegt (das so genannte „Recht auf Vergessenwerden“).

Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen

Daten dürfen daneben nur für den Zweck verarbeitet werden, für den sie erhoben wurden und für den die Einwilligung besteht, und ein Unternehmen darf nur solche Daten verarbeiten, die es tatsächlich benötigt. Neu ist, dass Nutzer einen Anbieter auffordern können, ihre personenbezogenen Daten an ein anderes Unternehmen weiterzugeben – beispielsweise, wenn sie den Arbeitgeber, die Bank oder den Serviceanbieter wechseln.

Explizit macht die neue Verordnung auch den Grundsatz der Datensicherheit. So müssen Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Level an Datensicherheit zu gewährleisten.

Strafzahlungen von bis zu 20 Millionen Euro

Und: Auf Aufforderung müssen Unternehmen nachweisen können, dass sie alle in der Verordnung festgelegten Datenschutzprinzipien einhalten. Es ist deshalb unumgänglich, die Datenhandhabung im Unternehmen entsprechend detailliert zu dokumentieren. Daneben werden viele Unternehmen ihre Datenschutzerklärung grundlegend überarbeiten und anpassen müssen.

Es bleiben nur noch wenige Wochen Zeit, bis die Verordnung in Kraft tritt. Sich rechtzeitig schlau zu machen, lohnt sich: Bei Verstößen können Bußgelder in Millionenhöhe fällig werden – mit Strafzahlungen von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes.

Wir helfen Ihnen gerne weiter – wenden Sie sich mit Fragen einfach an uns.