© Alexander Supertramp / Shutterstock
Datenschutz

Datenschutz: Nichts ohne Erlaubnis

Am 25. Mai trat die europaweite Datenschutzgrundverordnung in Kraft. Die Vorschriften bei der Datenverarbeitung wurden deutlich strenger.

Kurz nachdem Ende Mai die zweijährige Vorbereitungsphase zur Umstellung auf die Datenschutzgrund- verordnung (DSGVO) ausläuft, herrscht bei vielen Unternehmen immer noch Verunsicherung. Denn was ändern die neuen Regeln eigentlich genau? „Die Rechte der betroffenen Personen, also der Personen, deren Daten verarbeitet werden, werden durch die neue Grundverordnung im Wesentlichen kaum verändert“, sagt Rudi Kramer, stellvertretender Vorsitzender des Berufsverbandes der Datenschutzbeauftragten Deutschlands. Allerdings werden die Sanktionen gegen eine Verletzung dieser Rechte massiv erhöht. Konnten Verstöße gegen die Betroffenenrechte zuvor mit maximal 50.000 Euro Strafe geahndet werden, sind durch die Grund- verordnung nun Millionenstrafen von bis zu vier Prozent des Jahresumsatzes eines Unternehmens möglich.

Zudem werden vor allem die Dokumentationspflichten von Stellen und Unternehmen, die Daten verarbeiten, ausgedehnt, erklärt Kramer. Unternehmen müssen jede Verarbeitung von Personendaten dokumentieren und die jeweilige Aufsichtsbehörde – meist die Landesdatenschutzbeauftragten – über Verletzungen von Schutzmaßnahmen informieren. „Das soll innerhalb von 72 Stunden passieren“, erklärt Kramer. Das sei zum Beispiel schon dann notwendig, wenn eine E-Mail mit Kundendaten versehentlich an den falschen Empfänger geschickt wurde oder ein Laptop mit personenbezogenen Daten verloren geht.

Informationspflicht wird ausgeweitet

Betroffene Personen müssen künftig explizit über jede Verarbeitung – dazu gehört auch das Speichern – ihrer Daten informiert werden. Dass diese Informationspflicht erfüllt wurde, müssen Unternehmen nachweisen können. In den meisten Kontexten, etwa bei schriftlichen Auftragsbestätigungen, ist das leicht zu gewährleisten. „In anderen Bereichen, etwa bei Callcentern, die telefonisch Erstkunden gewinnen, ist das nicht ganz so einfach“, sagt Kramer. Zudem gibt es Bereiche, die oft gar nicht als datenschutzrechtlich relevant wahrgenommen werden, etwa Videoüberwachung einer Lagerfläche des Unternehmens – auch hier gilt die Informationspflicht gegenüber Personen, von denen Aufnahmen gemacht werden.

Unklarheit im Netz

Was die Umsetzung der neuen Regelungen im Internet angeht, gibt es laut Kramer allerdings auch noch wenige Wochen vor dem Inkrafttreten der Verordnung keinen Konsens darüber, wie sich diese auf die Pflichten der Seitenbetreiber auswirken wird. „Es ist noch nicht klar, ob Seitenbetreiber, die etwa den Traffic auf ihrer Seite messen oder ein Kontaktformular auf der Seite haben, jeden Nutzer im Sinne der DSGVO informieren müssen“, sagt Kramer. Vorsichtig sollten Unternehmen bei der Datenwei-tergabe sein: In Art. 28 der Verordnung ist festgelegt, welche vertraglichen Inhalte mit einem Dienstleister zu vereinbaren sind wie zum Beispiel, zu welchen Zwecken die Verarbeitung erfolgen darf. Das betrifft nicht nur externe Dienstleister für die Rechnungsstellung oder Lettershops – sondern auch Speicherdienstleister. Wer also persönliche Daten etwa per Dropbox oder Wetransfer versendet, braucht auch von diesen Anbietern eine solche schriftliche Zusicherung.

Von didacta DIGITAL • BILDUNGSPRAXIS • 30.05.2018

Weitere Informationen

Partner

eMag didacta DIGITAL