Akuter Handlungsbedarf in Unternehmen
Die DSGVO im Detail
Fortsetzung des Artikels von Teil 1
Grundregeln der DSGVO
Der »Territoriale Anwendungsbereich« besagt, dass die DSGVO auch für Unternehmen außerhalb der EU gilt, sofern sie auf dem europäischen Markt aktiv sind. Das betrifft folglich alle Unternehmen außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder die das Verhalten betroffener Personen in der Union beobachten. Letztgenannte Regelung scheint maßgeschneidert für das Nutzer-Tracking im Internet. Dabei ist die Staatsbürgerschaft unerheblich. Es genügt bereits, wenn sich die Personen kurzzeitig in der EU aufhalten.
Die DSGVO bringt für Unternehmen umfassende Nachweispflichten mit sich, die unter dem Begriff »Accountability« definiert sind. Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der Grundverordnung erfüllen, sondern dies zudem auch nachweisen können.
Das »Data Mapping«, also das Erstellen oder Aktualisieren eines Verfahrensverzeichnisses, gilt als der aufwändigste Aspekt der DSGVO. Das Verfahrensverzeichnis hilft Unternehmen zu verstehen, welche Daten verarbeitet werden und wo diese gespeichert sind, mit wem die Daten geteilt und wie sie geschützt werden. Das Wissen über diese Informationen ist ein absolutes Muss. Schließlich können Unternehmen keine Daten schützen, von denen sie nicht wissen, wo sie liegen, was sie enthalten und wie sie gegenwärtig kontrolliert werden. Das gilt auch für Daten, die in die Cloud fließen.
Bisher sind Unternehmen bereits verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstößen in Form von Datenpannen oder »Data Breaches« zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft. Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Die bisherige Beschränkung auf Risikodaten kennt die DSGVO nicht. Die Meldefrist beträgt 72 Stunden.
Die Bestellpflicht eines Datenschutzbeauftragten für nicht-öffentliche Stellen wird im neuen BDSG abweichend zur DSGVO erweitert: Demnach muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Die »Datenschutzfolgeabschätzung« kommt zum Teil der deutschen Vorabprüfung gleich, ist aber umfassender. Sie dienst der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.
Ein elementarer Grundsatz des Datenschutzrechts ist die Transparenz. Betroffene sollen wissen, »wer was wann und bei welcher Gelegenheit über sie weiß«, wie es das Bundesverfassungsgericht formulierte. Das BDSG kennt viele Ausnahmeregelungen, die mit der DSGVO wegfallen. Etwas grundsätzlich Neues ist das »Recht auf Datenübertragbarkeit« im Rahmen der »Betroffenenrechte«. Es soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten stärken, die automatisiert verarbeitet werden. Ein Anwendungsfall wären etwa soziale Netzwerke. Der Wechsel von einer Plattform wie Facebook zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten erleichtert werden. Was Unternehmen auch beachten müssen: Bestehende Dienstleisterverträge zur Auftragsdatenverarbeitung müssen angepasst werden. Bei Konflikten zwischen der Pflicht zur Aufbewahrung und der Pflicht zur Löschung von Daten gilt der Grundsatz: Aufbewahrungspflicht geht vor Löschpflicht.
- Die DSGVO im Detail
- Grundregeln der DSGVO
- APIs als Minenfeld
Lesen Sie mehr zum Thema
