Die EU-Datenschutz-Grundverordnung (DSGVO) ist bereits am 25. Mai 2016 in Kraft getreten. Nach zwei Jahren Übergangsfrist ist sie zwei Jahre später, also am 25. Mai 2018, zur Anwendung gekommen. Ab diesem Zeitraum kann nun auch ihre Einhaltung durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüft werden. Weil es sich um eine Verordnung auf EU-Ebene handelt, bedarf es bei der DSGVO keines nationalen Umsetzungsgesetzes.
Besonders für kleine bis mittelständische Unternehmen kam es mit der Anwendung der DSGVO zu einer Umstellung. So musste die Konformität der unternehmensinternen Datenverarbeitung mit den Richtlinien abgeglichen werden, die Datenschutzerklärung aktualisiert und ein Datenschutzbeauftragter eingestellt oder beauftragt werden. Zu der zunächst befürchteten Abmahnwelle kam es jedoch nicht. Die Datenschutzaufsichtsbehörden agieren in erster Linie als Berater und nicht als mit Sanktionen drohende Instanz.
Ein Datenschutzbeauftragter ist in jedem Unternehmen zu nennen, in welchem mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Für die Qualifikation zum Datenschutzbeauftragten bietet unter anderem der TÜV spezifische Schulungen und Lehrgänge an.
Worauf sollten Unternehmer achten?
Unternehmen müssen kontinuierlich prüfen, ob alle datenschutzrechtlichen Maßnahmen auch kompatibel mit der DSGVO sind. Dafür sollte geprüft werden, ob die verarbeiteten Kundendaten, ihr Umfang oder die hierfür eingesetzten Technologien zu irgendeinem Zeitpunkt die Datenschutzrechte der Kunden gefährdet haben oder noch gefährden könnten. Es sollten stets Risikobewertungen vorgenommen und geprüft werden, ob die technisch-organisatorischen Maßnahmen dem verlangten Schutzniveau der Daten entsprechen.
Besonders wichtig ist es, als Unternehmer der Nachweispflicht nachzukommen. Dafür müssen stets alle Dokumente und Prozesse zur Einhaltung des DSGVO gepflegt werden. Gelistet werden müssen Informationen zu Einwilligungen und ggf. verknüpfte Widersprüche von Kunden oder Nutzern einer Dienstleistung. Auch die Bearbeitung und Beantwortung von Auskunftsersuchen ist hier zu verzeichnen, damit überprüft werden kann, ob Kundenfragen zum Datenschutz angemessen und schnell beantwortet werden. Wichtig ist ebenso eine unternehmensinterne, transparente Berichterstattung zu Verletzungen von Datenschutzrechten.
Wer trägt die Verantwortung für DSGVO-konformen Umgang mit Kundendaten?
Die Verantwortung für den DSGVO-konformen Umgang mit Kundendaten liegt einzig und allein bei der Geschäftsführung. Sie ist nicht auf den Datenschutzbeauftragten des Unternehmens übertragbar. Die Aufgabe des Datenschutzbeauftragten liegt nur darin, den Datenverarbeitungsprozess zu überwachen und auf Missstände oder Fehlverhalten aufmerksam zu machen.
Was gehört in die Datenschutzerklärung?
In die Datenschutzerklärung gehören in erster Linie transparente und verständliche Hinweise und Erläuterungen zu den Weiterverarbeitungsprozessen von personenbezogenen und empfindlichen Personendaten. Zudem ist ein ausdrücklicher Hinweis auf das Widerrufsrecht zu positionieren, das dem Kunden jederzeit die Möglichkeit gibt, der Datenschutzerklärung zu widersprechen. Datenschutzerklärungen sollten stets juristisch geprüft werden.
Hier kannst Du mehr zur DSGVO erfahren: https://www.datenschutz-grundverordnung.eu/