Menu
DSGVO

DSGVO-Grundlagen kurz erklärt

Am 25. Mai 2018 tritt die EU-weit gültige Datenschutzgrundverordnung (DSGVO) in Kraft. Was Unternehmen vor mannigfaltige Herausforderungen stellt, gleichzeitig aber auch dazu anregt, sich Prozesse, in denen personenbezogene Daten gespeichert oder verarbeitet werden, genauer anzusehen und diese zu optimieren.

Die DSGVO soll EU-BürgerInnen mehr Kontrolle über ihre privaten Informationen gewährleisten und dient dazu, im gesamten europäischen Wirtschaftsraum ein einheitliches – hohes – Datenschutzniveau umzusetzen. Folgende acht Grundprinzipien sind die Basis für jeglichen Umgang mit personenbezogenen Daten bzw. Daten natürlicher Personen:

  1. Rechtmäßigkeit der Verarbeitung
  2. Transparenzgebot
  3. Zweckbindung
  4. Datenminimierung
  5. Richtigkeit
  6. Speicherbegrenzung
  7. Integrität und Vertraulichkeit
  8. Rechenschaftspflicht

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, die unmittelbar oder durch Kombination Rückschlüsse auf eine einzelne Person erlauben. Damit sind beispielsweise Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Ausweisnummern, Kundennummern, Bankdaten usw. personenbezogene Daten nach der DSGVO. Dies umfasst grundsätzlich Mitarbeiterdaten und Kundendaten sowie Lieferantendaten bzw. Daten von AnsprechpartnerInnen bei Kunden und Lieferanten.

Zweckgebundene, aktive Einwilligung

Grundlegend fordert die DSGVO, dass personenbezogene Daten in der Regel nur dann erhoben und gespeichert werden dürfen, wenn sie für einen bestimmten Zweck benötigt werden, die NutzerInnen über diesen Zweck aufgeklärt werden und sie aktiv der Speicherung und Verarbeitung für diesen Zweck zustimmen. Aktiv bedeutet, dass die Zustimmung nicht einfach vermutet werden darf. So dürfen Häkchen in Online-Formularen nicht standardmäßig gesetzt sein, sondern es muss eine bewusste Willensentscheidung seitens der NutzerInnen erfolgen.

Befristete, zweckgebundene Speicherung der Daten

Da die Einwilligung zweckgebunden erfolgt, müssen die Daten gelöscht werden, wenn sie nicht mehr für diesen Zweck benötigt werden. Nur weil Sie mal vor Jahren eine Visitenkarte von jemandem bekommen haben, dürfen Sie dessen Daten also nicht unbegrenzt in Datenbanken speichern, auswerten und ggf. für künftige, noch unspezifische Zwecke aufbewahren („Speicherung auf Verdacht“). Auch dürfen Sie diese Daten nicht ohne Weiteres Dritten zugänglich machen, sofern keine Einwilligung vorliegt.

Diverse Nachweispflichten sowie vertragsrechtliche, steuerliche oder sonstige juristische Vorgaben können dazu führen, dass bestimmte Daten länger aufbewahrt werden müssen als rein zur Erfüllung des ursprünglichen Zwecks – aber im Prinzip sind personenbezogene Daten grundsätzlich zu löschen, wenn sie nicht mehr benötigt werden.

Auskunfts-, Widerspruchs- und Löschansprüche

Jede Person, deren Daten gespeichert oder verarbeitet wird, hat ein Informationsrecht darüber, welche Daten dies sind, welchem Zweck diese Daten dienen und wer Zugriff auf diese Daten hat- insbesondere auch hinsichtlich der Weitergabe an Dritte sowie der Verarbeitung durch Dienstleister.

Darüber hinaus darf die Person der künftigen Speicherung und Verarbeitung jederzeit widersprechen, auch wenn sie zuvor eine Einwilligung erteilt hat. Bei Vorliegen berechtigter Interessen hat sie auch das Recht, die Löschung der von ihr gespeicherten Daten zu verlangen.

Dokumentationspflicht

Wer personenbezogene Daten speichert, muss dokumentieren und nachweisen können, was wie und wo gespeichert wird, welche Auswertungen vorgenommen werden bzw. wie die Daten genutzt werden, in welchen Abständen nicht mehr benötigte personenbezogene Daten gelöscht werden und wer darauf zu welchem Zweck Zugriff hat. Dazu ist ein Verarbeitungsverzeichnis anzulegen.

Die Praxis

Die Umsetzung der Prinzipien der DSGVO bedeutet in vielen Unternehmen einen hohen Aufwand, speziell was die Verarbeitungsverzeichnisse, aber auch, was den Umgang mit bereits lange gespeicherten Daten betrifft, deren Verwendungs- und Speicherzweck nun näher hinterfragt werden muss, um künftig rechtssicher vorzugehen. Die Androhung hoher Strafzahlungen im Falle von Verstößen führte hier zu einer weiteren Verunsicherung. Es ist also sinnvoll, sich von Fachleuten beraten und unterstützen zu lassen, um sich der Thematik mit einer gewissen Portion Gelassenheit widmen zu können.

Bei allem Aufwand, der mit dem Stichtag 25.5.2018 verbunden ist: Die Analyse von Datenbeständen, Datenstrukturen, Aufbewahrungs- und Speichermethoden, Backup-Verfahren, Vernetzung und Datenaustausch mit Kunden, Lieferanten, Dienstleistern etc. kann auch als Anlass für eine generelle Optimierung von Prozessen und Datenmanagement im Unternehmen dienen und somit auch über den 25. Mai hinaus ein Anstoß für positive und zukunftsweisende Veränderungen sein.

 

Related Posts