Person denkt über Datenschutz nach

DSGVO kompakt in zehn Punkten

– Sind Sie im Bilde, was die EU-DSGVO betrifft? Wissen Sie, welche Maßnahmen zu ergreifen sind, damit personenbezogene Daten im Marketing, im Vertrieb und im Personalwesen richtig verarbeitet und verwendet werden? (Anm.: Der Blogpost erschien erstmalig am 1.3.2018 auf Smarkeding.)

Die Datenschutzgrundverordnung (DSGVO) ist seit 25. Mai 2018 EU-weit anzuwenden. Für Unternehmen – und besonders für die fleißigen Datensammler – gilt es seither einiges zu beachten. Konsumenten und Internetuser hingegen sind in ihren Rechten gestärkt worden und können besser über ihre Daten verfügen. Man könnte auch sagen: "Big Brother is watched by EU!"

Hier meine zehn wichtigsten Punkte zur Datenschutzgrundverordnung:

1. Was regelt die EU-DSGVO?

Die EU-Verordnung Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist mit 25. Mai 2016 in Kraft getreten und ist nach einer 24-monatigen Frist mit 25. Mai 2018 anzuwenden. Sie vereinheitlicht nun die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit.

2. Was sind die wesentlichen Eckpfeiler?

  • Stärkung der Betroffenenrechte, als da wären: mehr Transparenz, die Verankerung des Rechts auf Vergessenwerden. Außerdem: Die Einwilligung zur Verarbeitung der Daten muss freiwillig, aktiv und eindeutig gegeben werden!
  • Neuer Fokus auf die Datensicherheit, wie z.B.: verpflichtende angemessene Sicherheitsvorkehrungen. Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden gemeldet werden.Sowohl Verantwortliche als auch Auftragsverarbeiter sind rechenschaftspflichtig.
  • Verpflichtend ist die Bestellung von Datenschutzbeauftragten im öffentlichen Bereich und Unternehmen mit Kerntätigkeit Datenverarbeitung.Für sensible Daten (wie etwa zur Herkunft, zur sexuellen Orientierung oder zur politischen Meinung, aber auch biometrische und Gesundheitsdaten) gelten besondere Bestimmungen.
  • Erhöhter Strafrahmen bei Verletzung der DSGVO: Strafen bis zu 20 Millionen Euro bzw. 4 Prozent des Konzernumsatzes sind möglich.

3. Für wen gilt die DSGVO?

Ausschließlich natürliche Personen (Internetuser, Konsumenten, Arbeitnehmer) genießen den Schutz der DSGVO. Juristische Personen (z.B. AG, GmbH, KG) haben kein Recht auf Datenschutz. Als Datenverarbeitung im Sinne der Verordnung gilt bereits eine teilautomatisierte Speicherung oder Kategorisierung von personenbezogenen Daten durch private Unternehmen oder öffentliche Stellen – also praktisch jede Ablage in einer Kundenkartei, einer Exceldatei, einer Datenbank oder im CRM der Vertriebsabteilung.

4. Das sind die Grundsätze der DSGVO

  • Zweckmäßigkeit: Welchen Zweck hat die Verarbeitung der Daten? Personenbezogene Daten sind zu löschen, falls kein Zweck (mehr) vorhanden ist.
  • Rechtmäßigkeit: das kann eine Vertragserfüllung sein, die Zustimmung des Betroffenen, oder auch eine Interessenabwägung.
  • Datenminimierung: es dürfen nur die für den Zweck benötigten Daten gespeichert werden, aber nicht mehr!
  • Richtigkeit: die Daten müssen richtig sein (siehe auch "Recht auf Berichtigung").
  • Speicherbegrenzung: Daten sind zu löschen, wenn sie nicht mehr benötigt werden (s.o.).
  • Integrität und Vertraulichkeit: der Verantwortliche hat dafür zu sorgen, dass die Daten sicher gespeichert sind (z.B. durch Installierung einer Firewall und andere Maßnahmen gegen Hacking und Computerviren).
  • Transparenz: jeder Betroffene darf erfahren, welche Daten über ihn gespeichert sind.

5. Wer sind die Mitwirkenden?

  • Verantwortlicher (früher: der "Auftraggeber"): so wird die natürliche oder juristische Person, die Behörde, die Einrichtung oder jede andere Stelle bezeichnet, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Datenschutzbeauftragter: seine weitreichende Kontrollfunktion stellt sicher, dass die Daten im Sinne des DSGVO verarbeitet werden; in seiner Beratungsfunktion leistet er dem Unternehmen oder der öffentliche Institution kompetente Unterstützung.
  • Auftragsverarbeiter (früher: der "Dienstleister"): ist jedes Unternehmen, das im Auftrag des Verantwortlichen personenbezogene Daten (weiter)verarbeitet. Das kann ein Webhost sein, eine Werbeagentur, ein Steuerberater; das sind aber auch Google und Facebook. Wichtig: verpflichtend ist ein schriftlicher Vertrag (in Österreich gilt als solcher auch ein Email). Und: die beauftragten Subunternehmer müssen dem Verantwortlichen bekannt gemacht werden!
  • Mitarbeiter: z.B. im Personalwesen, im Kundenservice oder im Marketing sind im Sinne der DSGVO zu schulen, eine Verschwiegenheitsvereinbarung ist Pflicht.

Das Sammeln von personenbezogenen Daten …

… ist einem genauen Regelwerk unterworfen.

6. Die Betroffenenrechte werden gestärkt!

Für uns User, Nutzer, Konsumenten und Arbeitnehmer ist die DSGVO erstmal ein Schritt in die richtige Richtung: Wir können erfahren, wer welche Daten von uns gespeichert hat – und mehr als bisher entscheiden, was damit passieren soll. Es ist zumindest ein Versuch, den großen Datensammlern zu verdeutlichen, dass die Menschen selbst über ihre Daten verfügen können.

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Mitteilungspflicht des Verantwortlichen an alle Empfänger
  • Recht auf Widerspruch
  • Regelungen betreffend automatisierte Generierung von Einzelentscheidungen einschließlich des sogenannten "Profiling"

Generell gilt, dass der Verantwortliche geeignete Maßnahmen treffen muss, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und das alles in angemessener Frist (längstens ein Monat). Genauere Ausführungen dazu auf der Website der WKO.

7. Pflichten für Verantwortliche und Auftragsverarbeiter

Das positive vorab: die DSGVO kennt keine Pflicht zur Registrierung bei der Datenschutzbehörde mehr, die DVR-Nummer ist bald hinfällig. Die Verarbeitung personenbezogener Daten muss stattdessen sehr umfangreich und genau dokumentiert werden. Das dient auch dazu, im Bedarfsfall die Betroffenenrechte (s.o.) schnell und umfassend wahren zu können. Und wie schon im DSG 2000 ist auch der Auftragsverarbeiter (die Werbeagentur, der Webhost) verpflichtet, diesen Informationspflichten nachzukommen. Das sind grob die Pflichten:

  • Verzeichnis der Verarbeitungstätigkeiten
  • Auftragsdatenverarbeitungsverträge (bei Outsourcing)Meldung von Datenschutzverletzung
  • Datenschutz-Folgenabschätzung
  • Vorherige Konsultation der Aufsichtsbehörde (bei vorhersehbar hohem Risiko der Datenverarbeitung)
  • Verpflichtender Datenschutzbeauftragter (bei gewissen Voraussetzungen)

8. Was muss ein Verzeichnis der Verarbeitungstätigkeiten enthalten?

Neben den Grundangaben zum Unternehmen (des Verantwortlichen) müssen die Bezeichnung der Verarbeitungstätigkeit (z.B. Newsletterversand),  Datenkategorien (etwa Kundenstammdaten und Nutzungsverhalten), die betroffene Person (also Kunden, Interessenten, Websitebesucher usw.), Zwecke (Adressierung der Ansprache, Nachweis wirksamer Einwilligung), Rechtsgrundlage, Datenquelle, Information der Betroffenen, Empfänger, Löschung, Schutzmaßnahmen (technische und organisatorische Maßnahmen) genannt und ausgeführt werden.

9. Was bedeutet die DSGVO für das Marketing?

Um Daten gesetzeskonform laut DSGVO verarbeiten zu können, steht Marketingabteilungen und Werbeagenturen noch viel Arbeit bevor. Wir im Marketing sind kreativ und finden immer Wege, unsere Kunden bestmöglich zu erreichen. Dass die Rechte von Betroffenen gestärkt werden, kann – neben verschiedenen Einschränkungen oder erhöhtem Aufwand – aber auch neue Chancen eröffnen. Und zwar, indem wir den Kunden unserer Produkte und Dienstleistungen, den Nutzern unserer Websites und Apps auf Augenhöhe gegenübertreten.

  • Der Außenauftritt ist entsprechend anzupassen (Website, Datenschutz-Erklärung).
  • "Profiling" wird schwieriger. Das betrifft in erster Linie Google, Facebook, Amazon usw., hat dadurch aber Auswirkungen auf Maßnahmen wie Retargeting, Machine Learning oder Zielgruppenrecherche.
  • Das Sammeln – und auch der Zukauf – von personenbezogenen Daten ist weiterhin möglich, die Daten können aber nicht mehr so ohne weiteres für alle anderen Zwecke verarbeitet oder verkauft werden. Beispiel: das Gewinnspiel mittels Postkarte, Coupon oder der beliebten "Autosammelbox".
  • Eine Weiterverarbeitung von Daten zu einem anderen Zweck (z.B. für die Zusendung des Newsletters) ist nur zulässig, wenn es mit dem ursprünglichen Zweck vereinbar, oder eine Einwilligung des Betroffenen vorhanden ist.
  • Biometrische Daten wie Fingerabdruck, Stimme, Iris oder Gesichtsstruktur unterliegen einem besonderen Schutz. Die Identifikation von Personen, etwa für die Entsperrung elektronischer Geräte mittels Fingerprintsensor oder Gesichtsscan, aber auch die Kommunikation mit Geräten wie Amazon Echo oder Google Home ist daher neu zu bewerten.
  • Gesundheitsdaten sind ebenfalls als sehr sensibel einzustufen. Die Frage, was mit Daten passiert, die mittels Fitnesstracker, Smartwatches und Gesundheitsapps ermittelt – und verarbeitet – werden, ist besonders spannend. Wie gehen Versicherungen, Krankenkassen und Arbeitgeber mit solchen Daten um?

10. Was sind die wichtigsten Schritte?

Wenn nicht schon geschehen, ist zuerst ein Datenschutz-Projektleiter festzulegen. Der wird die nächsten Wochen sehr viel zu tun haben, unter anderem:

  • Daten aufspüren, kategorisieren, Zweck der Verarbeitung festlegen
  • Verarbeitungsvorgänge definieren
  • Verzeichnis der Verarbeitungsvorgänge anlegen
  • Außenauftritt überarbeiten
  • Verträge aktualisieren (z.B. Dienstvertrag)
  • Informationspflichten vorbereiten (siehe "Betroffenenrechte")
  • Mitarbeiter schulen

Für alle, die genauere Informationen benötigen, hat die WKO alle wichtigen Begriffe, Grundsätze und Regeln zusammengestellt. Und in diesem Quiz der DGQ kannst du dein Wissen testen.

Wie weit bist du bereits mit den Vorbereitungen auf die DSGVO? Gibt es noch weitere Fragen dazu? Welche Meinung hast du zum Umgang mit Daten in der EU? Ich freu mich auf deinen Kommentar!

Fotos: stock.adobe.com / Dada Lin, Pixabay (2)

Veröffentlicht in Blog.