Datenschutz-Grundverordnung – empfindliche Strafen drohen!

Die neue Datenschutz-Grundverordnung (DS-GVO) ist bereits im Mai 2018 in Kraft getreten.  Doch viele Unternehmen haben die Vorgaben noch immer nicht ausreichend umgesetzt. Und das obwohl bei Nichteinhaltung der Richtlinien empfindliche Strafen drohen.

Verstöße gegen die Datenschutzverordnung sind keine Kavaliersdelikte

Strafen, die sich in einem Rahmen bis zu 20 Millionen Euro oder 4% vom Jahresumsatz bewegen, sollten auch Start-Ups aufhorchen lassen. Verstöße gegen den Datenschutz sind schon lange keine Kavaliersdelikte mehr.

Im Kern beschreibt die Grundverordnung, dass bei der Verarbeitung von Personendaten von EU-Bürgern die Datenschutz-Grundverordnung gilt. Hierbei spielt der Sitz des Unternehmens keine Rolle mehr. Dieser muss nicht zwingend innerhalb der EU liegen. Es reicht, dass personenbezogenen Daten eines Bürgers der EU erhoben oder weiterverarbeitet werden.

An die Grundverordnung müssen sich auch Unternehmen halten, die die Daten im Auftrag für andere Unternehmen weiterverarbeiten.

Informationspflicht wird ausgeweitet

Ausgeweitet wird durch die Datenschutz-Grundverordnung vor allem die Pflicht der Unternehmen zur umfassenden Information des Kunden, dessen personenbezogene Daten es erheben oder weiterverarbeiten will. Diese Pflichten hinsichtlich der Information müssen unbedingt eingehalten werden. Eine Nichteinhaltung kann mit hohen Geldstrafen belegt werde.

Die Informationspflichten im Überblick:

  • Der Verantwortliche muss konkret benannt werden. Hat die betreffende verantwortliche Firma keinen Firmensitz innerhalb der EU, muss ein Vertreter innerhalb der EU benannt werden
  • Der genaue Verwendungszweck muss deklariert werden
  • Wer empfängt die erhobenen Daten und welche Datenkategorien werden genau verwendet
  • Werden die Daten zu Aufbewahrung- oder Weiterverarbeitungszwecken außerhalb der EU transferiert. Eine entsprechende Grundlage muss zudem genannt werden
  • Der Kunde muss vorab darüber informiert werden wie lange die personenbezogenen Daten gespeichert werden
  • Der Kunde muss umfassend über seine Rechte hinsichtlich seiner Daten aufgeklärt werden. Dazu gehören die Möglichkeiten der Einspruchserhebung, Widerrufsrecht und vor allem die Möglichkeit sich bei einer Datenschutzbehörde zu beschweren

Nach der Grundverordnung besteht keine Verpflichtung zu einer Datenschutzerklärung. Diese Pflicht ist aber bereits durch die deutsche Gesetzgebung abgedeckt. Verzeichnisse zur Datenverarbeitung müssen ab einer Firmengröße von 250 Angestellten geführt werden. Darüber hinaus gelten bei besonderen Formen von Daten, wie beispielsweise Gesundheitsdaten, andere Anforderungen. Hier sind Verzeichnisse notwendig. Für die Ernennung eines Datenschutzbeauftragten gilt, ein interner oder externer Beauftragter mit umfassender Fachkompetenz muss vor allem bei Datenerhebungen ernannt werden, die Daten regelmäßig und systematisch erfassen.

Wird die Weiterverarbeitung der Daten outgesourct soll in Zukunft ein Vertrag zwischen Auftraggeber und Empfänger geschlossen werden. Dieser beinhaltet unter anderem Vertraulichkeitsklauseln genauso wie die Einhaltung von bestimmen Sicherheitsstandards.

Eine genauere Auseinandersetzung mit der neuen Datenschutz-Grundverordnung ist jedem Unternehmen dringend zu empfehlen.

Benötigen Sie Hilfe bei der technischen Umsetzung  der DSGVO? Dann kontaktieren Sie uns für ein kostenloses Beratungsgespräch!