Die neue Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 endgültig in Kraft. Sie bringt einige Änderungen in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten mit sich – und zwar solche, die Unternehmen bei Nichtbeachtung empfindlich treffen können. Vor welchen Herausforderungen Unternehmen, insbesondere aber KMU (kleine und mittelständische Unternehmen), jetzt stehen, lesen Sie hier in Teil 2 unserer Serie zur DSGVO:
Diese Richtlinien müssen Unternehmen beachten
Im ersten Teil unserer Serie haben wir bereits die wichtigsten Neuerungen der DSGVO geklärt. Unternehmen sollten dabei in erster Linie beachten, dass ab dem Stichtag „Privacy by Default“ für alle Unternehmen gilt, d.h. alle Datenschutzeinstellungen müssen per Standard auf höchster Stufe eingestellt sein. Es gelten folgende Grundsätze:
Rechtmäßigkeit und Transparenz
Das verbietet es den Unternehmen, personenbezogene Daten ohne Ermächtigungs- bzw. Rechtsgrundlage zu erheben und zu verwerten, gleichzeitig müssen die Datenschutzbestimmungen offen zugänglich und klar verständlich sein. Dabei müssen Sie in Ihrem Unternehmen auch einen Datenschutz-Verantwortlichen benennen.
Zweckbindung, Datenminimierung & Speicherbegrenzung
Die DSGVO besagt, dass selbst die personenbezogenen Daten, für die Sie eine Ermächtigungsgrundlage haben, nicht beliebig genutzt werden dürfen. Stattdessen ist eine Verarbeitung ausschließlich für den Zweck erlaubt, für den diese Einwilligung vorliegt. Gleichzeitig muss die Datenverarbeitung auf das notwendige Mindestmaß und die Datenspeicherung wiederum auf den Zeitraum der Datenverarbeitung beschränkt werden. Das soll unbegrenzter Datenspeicherung entgegenwirken.
Richtigkeit, Integrität und Vertraulichkeit
Unternehmen sind bei falschen bzw. unsachlichen Daten bei Inanspruchnahme durch den Betroffenen zur sofortigen Löschung ebendieser Daten verpflichtet. Außerdem sollten personenbezogene Daten in Ihrem Unternehmen gesondertem Schutz unterliegen, gerade auch was Manipulation und Fälschung betrifft – diesen Punkt betont die neue DSGVO nämlich im besonderen Maße.
Rechenschaftspflicht
Neu mit der DSGVO kommt die Rechenschaftspflicht, die Einhaltung der eben genannten Richtlinien muss also jederzeit vom Unternehmen nachgewiesen werden können. Das kann wesentliche Änderungen in der Datenschutzorganisation im Unternehmen nach sich ziehen. Sie müssen also künftig dafür Sorge tragen, dass dem Betroffenen jederzeit transparent nachgewiesen werden kann, dass dessen Daten auf rechtmäßige Art und Weise verarbeitet werden.
Erhöhte Kosten bei Nichtbeachtung der DSGVO
Beachten Sie diese Grundsätze nicht, drohen empfindliche Geldstrafen – und die treffen Unternehmen jeder Größe hart: Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) erfolgen, wenn Sie in Ihrem Unternehmen beispielsweise datenschutzunfreundliche Technologie einsetzen. Noch kritischer wird es, wenn Sie einen der Grundsätze tatsächlich brechen und/oder umgehen. In diesem Fall drohen 20 Millionen Euro oder ganze 4% des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher liegt).
Die DSGVO immer im Blick haben
Sie sollten also bei allen technischen und auch organisatorischen Neuerungen jeder Zeit die DSGVO mit ihren Richtlinien und dabei insbesondere die Risikoabschätzung aus Sicht der Betroffenen im Hinterkopf behalten. Derlei Dinge sollten von nun ab immer mit Rücksicht auf den Datenschutz entwickelt und umgesetzt werden. „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung“ heißt es konkret in der DSGVO. Das bedeutet, Sie müssen Bedrohungsmodelle durchexerzieren und ein sicheres Design anwenden. Entwickler sollten sich an Best-Practice-Beispiele orientieren können und dafür Sorge tragen, dass Sicherheitslücken im Code bereits beim Schreiben behoben werden.
Newsletter und Werbung
Auch für den Newsletterversand gilt: Sie brauchen die explizite Einwilligung des Empfängers – und zwar ab Mai auch für Bestandskunden. Sie muss von jedem Empfänger vor Beginn des Versands (= die Datenverarbeitung) gesondert eingeholt werden. In diesem Anmeldeformular muss der genaue Zweck der Datenverarbeitung transparent gemacht und erläutert werden. Bei Widerruf durch den Nutzer müssen alle diesbezüglichen Daten gelöscht werden. Sofern Sie diese Punkte nicht von Anfang an beachtet haben, sind alle vorhandenen Daten ab dem 25. Mai 2018 wertlos und Sie müssen neue Einwilligungen einholen. Sie können jedoch weiterhin Freebies (z.B. Whitepaper) in Kombination mit einer Newsletteranmeldung anbieten, dürfen den Newsletter dann allerdings nicht als kostenlos bezeichnen, da der Nutzer de facto mit seinen Daten bezahlt. Außerdem muss auch hier deutlich werden, dass der Nutzer sich mit dessen Einverständnis für den Newsletter anmeldet. Eine Bewerbung durch Gutscheine oder Rabatte ist weiterhin möglich.
Die Vorteile der DSGVO für Unternehmen
Das klingt bis hierhin wohl noch ziemlich überwältigend und vielleicht auch frustrierend für einige. Doch die DSGVO hat auch für Unternehmen durchaus ihre positive Seite. Zum einen stärkt sie das Vertrauen zwischen Unternehmen und deren Kunden. Ist eine strikte DSGVO-Konformität gewährleistet, so wissen die Kunden, Nutzer und auch Partner, dass ihre sensiblen Daten in guter Hand sind – eine gute Grundlage für eine noch bessere Kundenbindung. Gleiches gilt natürlich auch für Mitarbeiter. Die Einhaltung der Richtlinien zeugt also von Qualität und Transparenz. Zum anderen werden die Datenverarbeiter ab Mai verstärkt in die Pflicht genommen, sodass die Unternehmen ein Stück weit entlastet werden.
Fazit
Die DSGVO stellt alle Beteiligten vor eine große Herausforderung. Laut dem Marktforschungsunternehmen Coleman Parkes ist fast ein Drittel aller Unternehmen noch nicht ausreichend auf die kommende DSGVO vorbereitet. Doch deren Einhaltung ist nicht nur unter monetären Aspekten ein Zugewinn. In unserer kommenden Folge präsentieren wir Ihnen deshalb Möglichkeiten, wie Sie sich und Ihr Unternehmen jetzt optimal vorbereiten und schützen können!