DSGVO – Veränderungen im Datenschutz 2018

4. November 2017 - 17:12
kostenos lesen: eBook "Datenschutz und CRM - Die DSGVO in der vertrieblichen Praxis"

Die europäische Datenschutzgrundverordnung (DSGVO) regelt ab dem 25. Mai 2018 den Datenschutz in der EU. Davon sind alle Unternehmen betroffen, die Personen bezogene Daten verarbeiten. In vielen Unternehmen herrscht Unsicherheit, was da konkret auf sie zukommt. Der nachfolgende Beitrag versucht hier Licht ins Dunkel zu bringen.

Dieser Beitrag ist keine Rechtsberatung, sondern lediglich eine Zusammenfassung des aktuellen Standes der Literatur. Details finden sich im angehängten Literaturverzeichnis.

Datenschutz 2018 - Die DSGVO in der vertrieblichen Praxis

Die Datenschutz Grundverordnung (DSGVO) ist eine europäische Verordnung und verdrängt somit nationales Recht. Ab 25. Mai 2018 wird die DSGVO in allen EU Mitgliedsstaaten geltendes Recht. Die DSGVO regelt den Datenschutz für alle EU Bürger und alle Menschen, die sich innerhalb der EU aufhalten. Das betrifft z.B. auch ein türkisches Unternehmen, das kostenlose Auskunftsdienste online in der EU anbietet. Ebenso fällt ein Tourist in der EU unter den Schutz der DSGVO, wenn die Daten z.B. von einem Deutschen Unternehmen gespeichert und verarbeitet werden (Marktortprinzip).

Die zentrale Fragestellung für Unternehmen lautet, unter welchen Bedingungen Unternehmen Personen bezogene Daten verarbeiten dürfen.

Die Grundprinzipien wie Zweckbindung, Datenminimierung und Transparenzgebot bleiben erhalten. Der Umgang mit personenbezogenen bleibt grundsätzlich verboten, sofern er nicht durch einen Erlaubnistatbestand einer Rechtsvorschrift erlaubt ist (Verbot mit Erlaubnisvorbehalt). Allerdings geht die Neuregelung in einigen Bereichen weiter und fordert z.B. die Verpflichtung zu „Privacy by Design“ oder zusätzliche Informationspflichten. So muss der Betroffene darüber informiert werden, auf welcher Rechtsgrundlage die Daten erhoben und das berechtigte Interesse des Verantwortlichen aufgeführt werden. Dazu später mehr.

Die wichtigsten Änderungen im Überblick:

Neue Begriffsdefinitionen

Die DSGVO kennt nur den Begriff der Verarbeitung von Daten und nicht mehr die Dreiteilung in Erhebung, Verarbeitung und Übermittlung. Neu werden die Verarbeitung biometrischer oder genetischer Daten geregelt. Dabei geht es um die Gesichtserkennung oder den Fingerabdruck.

Verarbeitung zu anderen Zwecken

Die nachträgliche Zweckänderung der Verwendung Personen bezogener Daten wird anders als im bisherigen Bundesdatenschutzgesetz (BDSG) geregelt. Betroffene sind über die Zweckänderung zu informieren. Der Grundsatz der Zweckbindung bleibt bestehen.

Anforderung werbliche Einwilligung (Opt-In) erhöht

Die Erteilung der Einwilligung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung – z. B. das Anklicken eines Kästchens auf einer Webseite. Werbetreibende Unternehmen sind in der Nachweispflicht, dass eine wirksame Einwilligung vorliegt.

Gleichzeitig wurden die Anforderungen für den Widerruf der Einwilligung herabgesetzt. Der Betroffene muss seine Einwilligung „jederzeit“ und „ohne Begründung“ widerrufen können. Der Widerruf der Einwilligung ist mindestens so einfach zu gestalten wie die Abgabe (Art. 7).

Deshalb sollten Unternehmen einen wirksamen Prozess der Widerrufsverarbeitung implementieren. Die Speicherung personenbezogener Daten in unterschiedlichen Anwendungen erhöht die Komplexität.

Informations- und Auskunftspflichten erweitert

Unternehmen müssen Betroffenen weitere Informationen bereitstellen:

  • Rechtsgrundlage der Datenverarbeitung
  • Angaben zur Dauer der Speichern bzw. die Kriterien, wann eine Löschung der Daten erfolgt
  • Bei einer Zweckänderung der Datennutzung ist der Betroffene erneut zu informieren

Portabilitätsverpflichtung: Datenweitergabe an Dritte

Vom Betroffenen selbst bereitgestellte Daten müssen von Unternehmen in gängigen Formaten elektronisch auf Anforderungen des Betroffenen an Dritte weitergegeben werden.

Lösch-, Widerspruchs- und Hinweispflicht erweitert

Wenn personenbezogene Daten sachlich nicht korrekt sind und die Daten an Dritte weitergegeben wurden, muss das Unternehmen auch den Dritten über Korrekturen, einen Widerspruch der Nutzung oder die Löschung informieren.

Unternehmen müssen deshalb genau dokumentieren, an wen Daten weitergegeben wurden.

Auftragsdatenverarbeitung

Auftragsverarbeiter sind Dienstleister, die im Auftrag eines Unternehmens personenbezogene Daten verarbeiten. Das sind z.B. Lettershops oder Callcenter Dienstleister. Diese werden zukünftig stärker in die Pflicht genommen. Es gelten eigene Dokumentationspflichten und die gesamtschuldnerische Haftung bei Datenpannen gegenüber den Betroffenen. Eine EU-Aufsichtsbehörde kann in Zukunft Bußgelder auch direkt gegen den Auftragsverarbeiter verhängen, wenn die Auftragsverarbeitung nicht den Vorgaben der DSGVO entspricht. Somit verschärfen sich Datenschutzanforderungen für die Auftraggeber.

Technisch-organisatorische Maßnahmen - Dokumentationspflichten erweitert

Die technischen IT Systeme sollten den Anforderungen des Privacy by Design entsprechen. Datenbank basierte Anwendungen erlauben z.B. einen stärkeren Datenschutz als unverschlüsselte Excel-Listen.

In Bezug auf technisch-organisatorische Maßnahmen wird eine Dokumentation der Risikoeinschätzung notwendig. Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung der Verfahren bei der Aufsichtsbehörde

Einer Datenschutz Folgeabschätzung sollte ein adäquates Risikomanagement vorausgehen. Sollten Sie bei der Risikoabschätzung der einzelnen Datenverarbeitung zu dem Ergebnis kommen, dass diese ein hohes Risiko für die Rechte und Freiheiten des Betroffenen darstellt, müssen Sie eine Datenschutz-Folgeabschätzung durchführen – insbesondere dann, wenn es um eine automatisierte Entscheidung für den Betroffenen geht, massenhaft sensible Daten verarbeitet werden oder systematisch öffentlich zugängliche Bereiche massenhaft beobachtet werden. Auch bei der Einführung neuer Technologien ist eine Datenschutz Folgeabschätzung notwendig.

Zuständigkeit der Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem Hauptsitz bzw. der Niederlassung, die generell über die Datenverarbeitung entscheidet.

Geldbußen drastisch erhöht

Geldbußen bei Verstößen gegen die DSGVO wurden auf bis zu 20 Millionen oder 4 % des weltweiten Umsatzes erhöht. Das BDSG sah bislang ein Höchstmaß von € 300.000 vor. Unternehmen sollten dies in ihrer Risikoeinschätzung berücksichtigen.

Datenlecks an Aufsichtsbehörde und Verbraucher melden

Musste früher der Großteil der Datenlecks nicht gemeldet werden, da betreffende Daten im Bereich Marketing und Vertrieb für gewöhnlich nicht verarbeitet werden, besagt die neue Verordnung zur Pannenmeldungspflicht, dass Datenlecks oder –pannen, egal welcher Datenkategorie, bei der Datenschutzaufsichtsbehörde zu melden sind. Verbraucher müssen informiert werden, sofern die Pannen ein hohes Risiko der Beeinträchtigung darstellen.

 

Wichtige Folgen für die vertriebliche Praxis

Das sollten Sie jetzt prüfen:

  1. Verfahrensverzeichnis
    Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  2. Datenschutzerklärung prüfen, ob DSGVO konform
  3. Informationspflicht bei Erstansprache gewährleisten
    - Kontaktdaten Verantwortlicher
    - Kontaktdaten Datenschutzverantwortlicher
    - Zweck der Datenerhebung
    - Dauer der Speicherung bzw. Löschregeln
    - Hinweis auf Betroffenenrechte
  4. Im CRM je Datensatz prüfen und speichern:
    - Rechtsgrundlage für Speicherung personenbezogener Daten
    - an welche Dritte Daten ggf. weitergegeben wurde
    - Einwilligung je Kommunikationskanal inkl. Einwilligungstext
    - Zweck der Datenverarbeitung
    - Löschfristen oder Regeln für Löschen personenbezogener Daten definieren
    - …
  5. Einwilligungserklärungen
    - auf DSGVO Anforderungen anpassen
    - bestehende Einwilligungen prüfen und ggf. neu einholen.
  6. Prozesse zur Umsetzung des Widerspruchsrechts (Opt-Out)
  7. Bestehende Auftragsdatenvereinbarungen überprüfen
  8. Prozess bei Datenpannen entsprechend neuer DSGVO Vorgaben anpassen
    Information Aufsichtsbehörde innerhalb von 72 Stunden.
  9. Verfahren, um Daten in elektronischen Format übertragbar bereitzustellen
  10. Risk Management zur Festlegung technisch-organisatorische Maßnahmen

 

Literaturverzeichnis

Mehr lesen Sie im kostenlosen eBook "Datenschutz und CRM - Die DSGVO in der vertrieblichen Praxis"

Autor: 

Markus Grutzeck

Markus Grutzeck ist verheiratet und hat drei Kinder. Geschäftsführer der Grutzeck-Software GmbH. Das Unternehmen gibt es bereits seit mehr als 33 Jahren. Mehr als 2.000 Unternehmen nutzen die Software für Vertrieb und Marketing. Die CRM-Software AG-VIP SQL wurde vierfach mit dem Innovationspreis der Initiative Mittelstand in den Bereichen „Kundenmanagement“, „BPM“ und „CRM“ ausgezeichnet.

Neuen Kommentar schreiben

Plain text

  • Keine HTML-Tags erlaubt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.