EU DSGVO

DSGVO – Was muss ich tun?

Am 24. Mai 2016 ist die DSGVO im gesamten europäischen Raum in Kraft getreten. Diese Verordnung wird ab dem 25. Mai 2018 in allen Unternehmen anzuwenden sein.

Aufgrund der hohen praktischen Bedeutung habe ich im folgenden Artikel einige Eckpunkte dieser Verordnung zusammengefasst.

Wer ist von der DSGVO betroffen?

Die DSGVO gilt für alle Unternehmen, Behörden und andere Stellen, die mit personenbezogenen Daten arbeiten.

Auch Unternehmen außerhalb der EU, die Waren oder Dienstleistungen für EU-Bürger anbieten, müssen sich an die neuen Datenschutzbestimmungen halten. Dabei unterliegen Unternehmen, die besonders sensible Daten verarbeiten, besonderen Auflagen.

Auswirkungen der Verordnung

Es wird durch die DSGVO eine Umfangreiche Dokumentation der Prozesse erforderlich sein.

Außerdem wird die Verarbeitung personenbezogener Daten nur noch erlaubt sein, soweit dies zur Erreichung des Zwecks angemessen und erheblich ist. Aber auch dann nur für festgelegte, eindeutige und legitime Zwecke. Wenn die Kerntätigkeiten des Unternehmens aus Verarbeitungsvorgängen bestehen, die nach Art und Umfang und/oder Zweck eine systematische Überwachung erfordern oder im Unternehmen besonders sensible Daten nach Art. 9 oder 10 der DSGVO verarbeitet werden, ist ein betrieblicher Datenschutzbeauftragter erforderlich.

Wenn man keinen Datenschutzbeauftragten bestellt, obwohl im Betrieb nach DSGVO einer benötigt wird, kann dies mit bis zu 50.000€ Strafe geahndet werden.

Zum Zeitpunkt der Datenerhebung muss man den betroffenen Personen mitteilen, inwiefern man ihre Daten speichert und verarbeitet. Dazu benötigt jedes Unternehmen natürlich erstmal ein umfangreiches Datenschutzkonzept, damit man die Prozesse der Datenverarbeitung auch nachvollziehen kann.

Es gilt auch ab jetzt eine Frist von 72 Stunden nach einer Datenpanne, um diese beim zuständigen Amt (z.B. für Rheinland-Pfalz der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz) zu melden. Außerdem ist jedes Unternehmen zur Datenminimierung (Privacy by Design, Privacy by Default) verpflichtet.

Bei Verstößen können Strafen in Höhe von bis zu 20.000.000€ oder 4% des weltweiten Jahresumsatzes des Vorjahres (je nachdem was von beidem höher ist) verlangt werden!

Welche Schritte sollte man einleiten?

Zu aller erst sollte man den Datenschutz im Unternehmen ernst nehmen und alle Mitarbeiter und auch die Geschäftsführung zu dem Thema schulen.

Natürlich muss man eine Prozessdokumentation über alle datenverarbeitenden Prozesse erstellen, diese dann im Unternehmen an die DSGVO anpassen und aufgrund dessen dann ein Datenschutzkonzept erarbeiten. Jeder muss zudem seine Verträge alle überprüfen. Dazu kommt eine Einwilligung der Datenerhebung, die alle Aspekte der neuen Richtlinie beinhaltet, die jedes Unternehmen erstellen muss.

Zudem darf man den Außenauftritt, wie die Webseite oder auch die Social-Media-Kanäle, keinesfalls vergessen. Es ist wohl auch zu befürchten, dass sich Abmahnanwälte auf Unternehmen stürzen könnten, die der DSGVO nicht vollständig entsprechen.

Da die Datenschutzgrundverordnung so komplex, aber auch wichtig ist, helfen wir unseren Mandanten natürlich bei einer für ihr Unternehmen passende Umsetzung der DSGVO.