Datenschutzgrundverordnung – Nichts wird so heiß gegessen…

Wer mit Daten und mit der Datenerhebung, z.B. auch über den eigenen Webauftritt zu tun hat, stolpert früher oder später über die neue Datenschutzgrundverordnung DSGVO. Sie ersetzt den bestehenden gesetzlich festgelegten deutschen Datenschutz und wird von vielen als eine gravierende Abmahnfalle angesehen. Dabei ergänzt und erweitert die Datenschutzgrundverordnung unseren Datenschutz lediglich um einige Punkte.

Aber wird sich den Gesetzestext durch liest, wird schnell merken, dass es zwar etliche Veränderungen gibt, jedoch vieles schon längst umgesetzt sein müsste. Schließlich sind Sie schon jetzt verpflichtete, Daten zu schützen und vor Zugriff unbefugter Dritter zu bewahren.

Das Ziel der DSGVO ist es den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten“ sicherzustellen. Schon alleine an dieser Definition erkennt man deutlich, dass die die Verordnung grundsätzlich kein anderes Ziel verfolgt, als das mit ihrem letztendlichen Inkrafttreten im April 2018 abgelösten Datenschutzgesetz. Der einzige grundlegende Unterschied ist, dass auch vom „freien Verkehr der Daten“ gesprochen wird. Also keine – wie von viele befürchtete grundsätzliche Umwälzung des Datenschutzes.

Was ändert sich nicht?

Bisher waren Sie verpflichtet, gespeicherte Daten so aufzubewahren, dass nicht unbefugte Dritte auf diese Zugriff haben. Ihnen ist es darüber hinaus verboten gewesen, die Daten außerhalb des für Zwecks, für den Sie diese erhoben und gespeichert haben zu verwenden. So dürfen Sie zum. Beispiel schon heute nicht Kunden-Mailadressen nicht für Werbekampagnen verwenden, es sei denn, die Kunden haben dem zugestimmt. Schon heute müssen Sie zum Beispiel sicherstellen, dass Informationen (Personaldaten) über Ihre Mitarbeiter nicht von jedem Arbeitnehmer gelesen werden können. Usw.

Aber: Lassen Sie sich nicht ins Bockshorn jagen und von verschiedenen Dienstleistungsanbietern in Panikversetzen! Die neue Verordnung zwingt sie nicht, Ihre Datenbestände mit teuren und umständlichen Verfahren zu verschlüsseln. Diese Angebote fallen unter Nepperei. As einzige, was die Verordnung macht, ist, teilweise den Kreis der unter den Datenschutz fallenden Leistungen zu erweitern sowie den Datenschutz in der EU zu vereinheitlichen.

Was ändert sich?

Da Deutschland ohnehin schon einen recht strengen Datenschutz hat, ändert sich unseres Erachtens (nicht juristische Beurteilung!) nicht viel. Aber die wenigen Änderungen haben es – zumindest für einen Teil der Unternehmen – in sich.

Grundsätzlich lässt sich zunächst einmal sagen, dass hinsichtlich des Datenschutzes die eigene Datenschutzerklärung ausführlicher werden muss. Es reicht nicht nur aus, darauf hinzuweisen, dass man den Datenschutz beachtet. Man muss deutlich sagen was man mit den Daten macht und wer alles auf die Daten außerhalb des Datenerhebenden auf diese Zugriff bekommt bzw. hat. Zudem verlang die Datenschutzgrundverordnung (Art 12 EU-DSGVO):

Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Also: Sie müssen dem Kunden in einer für ihn verständlichen (nicht juristischen!) Sprache mitteilen, was Sie mit seinen Daten anstellen. Die betroffenen Nutzer sollen in die Lage versetzt werden, eine Datenerhebung, deren Verarbeitung oder Nutzung anhand der verfügbaren Informationen prüfen zu können.

Des Weiteren ist der Kunde berechtigt Auskunft über seine Daten und die Verwendung dieser zu erhalten. Das Unternehmen ist sogar verpflichtet, diesem Auskunftsersuchen nachzukommen. Folglich ist eine Kontaktmöglichkeit dem Kunden bekannt zu machen. Das Gesetz geht sogar soweit, dass ab einer gewissen Größe Ihres Unternehmens eine eigene Auskunftsstelle / ein Datenschutzbeauftragter (was ja für Unternehmen in Deutschland nicht unbedingt neu ist) verlangt wird. Was nicht verlangt wird ist eine kryptografische Speicherung.

Fazit

Es lässt sich nicht bestreiten, dass für Unternehmen, die sich noch nicht auf die Datenschutzgrundverordnung eingestellt haben einiges an Arbeit zukommt. Insbesondere hinsichtlich der Erfüllung der Informationspflichten muss etliches getan werden. Auch sind einige Dokumentationspflichten zu erfüllen.

Dennoch ist unseres Erachtens eine Panik unbegründet. Denn vieles, was die DSGVO verlangt, findet sich so oder teils sogar strenger in bestehenden deutschen Gesetzen wieder. Etliches – so finden wir – vereinfacht sogar unser bestehendes Recht.

Wenn Sie sich näher und juristisch besser informiere wollen, sollten Sie bei Datenschutzbeauftragter-info.de nach lesen. Hier wird kompakt und trotzdem tiefergehend die Datenschutzgrundverordnung behandelt.

Blog-Themen des Artikels: Controlling & Revision, Kundengewinnung & Kundenbindung Schlagworte: . Bookmarke den Permalink.
Kopieren Sie diesen Short-Link und verwenden Sie Ihn beim Posten und Teilen: http://ku-li.de/VQUNG  

Teilen Sie diesen Beitrag mit anderen ...


Artikel kommentieren