European Media Partner

DSGVO verspricht Datenschutz und macht viel Arbeit

Es ist ein Schritt in die richtige Richtung: Eine aus dem Jahre 1995 stammende EU-Datenschutz-Richtlinie zu Urbeginn des Internetzeitalters wird an die aktuellen Gegebenheiten des Internet angepasst und soll Bürgern zu mehr Sicherheit im Umgang mit ihren Daten verhelfen. Die 99 Gesetze der neuen Datenschutz-Grundverordnung gelten europaweit seit dem 25.Mai 2016, seit dem 25.Mai 2018 sind sie verpflichtend für alle Unternehmen und Betreiber einer Webseite in sämtlichen EU-Mitgliedsstaaten.

Dabei müssen sich beileibe nicht nur große Konzerne über die Umsetzung beziehungsweise Einhaltung Gedanken machen, jeder, der mit personenbezogenen Daten zu tun hat, sollte sich, falls noch nicht geschehen, schnell darum kümmern. Auch Friseure, kleine Onlinehändler, Behörden, Vereine, Handwerker, Meinungsforschungsinstitute oder Marketingagenturen sind gezwungen, sich mit dem neuen Gesetz zu beschäftigen und ihren Datenschutz anzupassen. Dazu benötigen alle Webseitenbetreiber seit dem 25. Mai 2018 eine DSGVO-konforme Datenschutzerklärung auf ihrer Seite.

Grundsätzlich haben alle Behörden und Unternehmen in Deutschland, bei denen mindestens zehn Mitarbeiter personenbezogene Daten digital erfassen, die Pflicht, einen Datenschutzbeauftragten zu benennen. Das kann ein Jurist oder ein Internet-Experte mit „nachgewiesener erforderlicher Fachkunde“ sein, erkennbar an Ausbildungszertifikat von TÜV oder IHK.

Neben typischen Newsletter-Auskünften wie Name, Anschrift, Telefonnummer, Email, Geburtsdatum und Beruf liefern Bestelldaten samt Kontoverbindung, KFZ-Kennzeichen, Standortdaten, IP-Adressen aus Server-Statistiken, Google Analytics, plugins und Like-Buttons von Facebook sehr viele personenbezogene Daten. Besteht auch nur die Möglichkeit einer Identifizierung einer Person, kann das zu einer Klage führen. Denn grundsätzlich ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten, es sei denn, es liegt eine Erlaubnis dazu vor.

Erhoben und verarbeitet werden dürfen nur so viele Daten wie tatsächlich benötigt, sie dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden und sie müssen inhaltlich und sachlich richtig sein. Alle Datenverarbeitungstätigkeiten müssen zudem dokumentiert werden. Selbst für die Personalabteilung gilt, dass personenbezogene Daten nur mit Einwilligung oder nach gesetzlicher Grundlage verarbeitet werden dürfen. Daten von abgelehnten oder gekündigten Bewerbern müssen unverzüglich gelöscht werden, außer, es geht um Renten- oder Rechtsansprüche. Bewerberdaten dürfen nur gegen ausdrückliche Einwilligung für „mögliche weitere Jobangebote“ gespeichert werden, auch Personalvermittler und Betriebsräte müssen hier aufpassen.

Die DSGVO greift auch in der Auftragsdatenverarbeitung (ADV), die nun Auftragsverarbeitung (AV) heißt. Hier ist laut neuem Gesetz nicht nur wie gehabt der Auftraggeber für dessen Einhaltung verantwortlich, sondern auch der Auftragnehmer, also der Auftragsverarbeiter (z.B. externes Callcenter, externer Newsletter-Anbieter, externes Rechenzentrum). Führungskräfte müssen die Verträge aktualisieren.

WhatsApp und auch Snapchat sollten übrigens schnell von den Diensthandys der Mitarbeiter entfernt werden, denn deren Geschäftsmodell ist nicht datenschutzkonform.  Bei Verstößen drohen Bußgelder zwischen 4 Prozent des weltweiten Jahresumsatzes und 20 Millionen Euro. 

Teile diesen Artikel

Journalist

Katja Deutsch

Weitere Artikel