Vor allem wegen ihrer sehr hohen Strafen ist die Datenschutzgrundverordnung zurzeit in aller Munde. Bis zu vier Prozent des Konzernumsatzes oder zwanzig Millionen Euro – je nachdem welcher Betrag höher ist – sind als Strafe möglich, wenn gegen die Datenschutzgrundverordnung verstoßen wird. In der Tat ist Handlungsbedarf gegeben, denn die verbleibende Zeit von zehn Monaten zur Umsetzung der erforderlichen Maßnahmen ist denkbar kurz.
Wann ist das Datenschutzrecht zu beachten?
Sämtliche Informationen, die die Feststellung der Identität einer Person ermöglichen, sind personenbezogen und unterliegen dem Datenschutz. Dazu zählen:
- E-Mail-Adresse
- Foto
- Anschrift
- IP-Adresse
- Sozialversicherungsnummer
Anonyme Daten sind folglich ausgenommen.
Gesetzliche Grundlage für Datenverarbeitung
Sofern keine gesetzliche Grundlage vorliegt, ist jede Datenverarbeitung verboten. Als gesetzliche Grundlage dienen in der Praxis vor allem die Erfüllung einer vertraglichen Pflicht oder die Einwilligung. Wer beispielsweise eine Ware bestellt, muss seine Adresse bekanntgeben, damit diese zugestellt werden kann. Wer einen Newsletter per E-Mail an seine Kunden versenden möchte, benötigt die Zustimmung der Kunden.
Erhobene Daten sparsam nutzen
Neben einer Rechtsgrundlage erfordert jede Datenverarbeitung einen festgelegten, legitimen Zweck. Will man IP-Adressen und User-IDs protokollieren und speichern, um die Benutzerfreundlichkeit der Website zu optimieren, ist dieser Zweck anzugeben. Auch sind die erhobenen Daten auf das für die Verarbeitung notwendige Maß zu beschränken.
Jede Person hat ein Recht zu erfahren, was mit den eigenen, personenbezogenen Daten passiert. Dank der Datenschutzerklärung muss klar definiert sein, welche personenbezogenen Daten zu welchem Zweck, von wem, wie lange verarbeitet werden. Zudem muss nachvollziehbar sein, ob die Daten an Dritte weitergegeben werden.
Stichtag zur Datenschutzgrundverordnung
Die Europäische Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Sie ersetzt die EU-Datenschutzrichtlinie sowie das österreichische Datenschutzgesetz. Die obigen Grundsätze zur Datenverarbeitung erfahren keine wesentliche Änderung. Jedoch kommen aber weitere Pflichten und Unsicherheiten auf die Unternehmen zu. Durch den Wegfall der Meldeplicht bei der Datenschutzbehörde haben die Unternehmen ihre Datenverarbeitungen eigenverantwortlich und datenschutzkonform durchzuführen.
Vorbeugende Maßnahmen treffen
Um Datenschutzverstöße schon im Vorfeld zu verhindern, müssen Unternehmen „technische und organisatorische Maßnahmen“ ergreifen. Sie sollten eine Datenschutzfolgenabschätzung vornehmen. Maßnahmen können beispielsweise sein:
- Technische Maßnahme: Verschlüsselung und Pseudonymisierung von Daten.
- Organisatorische Maßnahme: Beschränkung des Datenzugriffs auf das Minimum (need-to-know).
Faktoren wie technische Machbarkeit, Kosten und Eintrittswahrscheinlichkeit einer Datenschutzverletzung sind dabei ebenfalls zu berücksichtigen.
Datenanwendungen ermitteln und dokumentieren
Unternehmen müssen sich fortan einen Überblick über ihre Datenanwendungen verschaffen, indem sie Folgendes ermitteln, dokumentieren,
- wo
- welche Daten
- von wem
- auf welcher Rechtsgrundlage
- zu welchem Zweck
- wie lange
Nutzen Sie die verbleibenden zehn Monate bis zum Inkrafttreten der Europäischen Datenschutzgrundverordnung am 25. Mai 2018. Treffen Sie Maßnahmen, die Ihr Unternehmen vor Datenschutzverstößen schützen.
