Nachdem das Thema โDatenschutzโ in Unternehmen bisweilen noch eher ein Schattendasein fristete (Stichwort: Beantragung einer DVR-Nummer), wird es mit der neuen Datenschutz-Grundverordnung (DSGVO 2016) in Kรผrze in die pralle Sonne gestellt. Das Gesetz wurde bereits am 27. April 2016 von der EU erlassen und tritt ab dem 25. Mai 2018 in sรคmtlichen Mitgliedsstaaten in Kraft. Welche rechtlichen Anforderungen sich aus der DSGVO ergeben und wie diese praktisch umzusetzen sind, haben wir fรผr Sie zusammengefasst.
Neu ist an der DSGVO, dass der Schutz personenbezogener Daten mit dem Informationsschutz (insbesondere auch Betriebs- und Geschรคftsgeheimnisse) verschrรคnkt wird. Datenschutz ist dann als eine Teilmenge des Informationsschutzes zu verstehen. Damit soll das Grundrecht auf Geheimhaltung der personenbezogenen Daten der Betroffenen (โinformationelle Selbstbestimmungโ) sichergestellt werden.
Unternehmen, die persรถnliche Daten von Betroffenen (z. B. Kunden, MitarbeiterInnen, etc.) rechtmรครig besitzen und verarbeiten, sind fรผr den Schutz dieser Daten auch verantwortlich und dรผrfen diese nur unter Einwilligung der jeweiligen Betroffenen fรผr die dafรผr vereinbarten Zwecke verwenden. Diese Daten dรผrfen an Dritte nur weitergegeben werden, wenn es sich bei diesen um sogenannte Auftragsverarbeiter (z. B. Steuerberater, IT-Dienstleister, etc.) handelt, die diese Daten im Sinne des Betroffenen weiterยญverarbeiten (z. B. Erstellung der Lohnverrechnung) und die Verarbeitungsgrundsรคtze vertraglich festgehalten wurden. Bei Verstรถรen gegen das einheitliche Datenschutzrecht in der EU drohen extreme Strafen (bis max. EUR 20 Mio. bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes).
Um den Anforderungen der DSGVO Rechnung zu tragen, haben Datenverantwortliche die Rechtskonformitรคt ihrer Datenverarbeitung nachzuweisen. Dies muss durch den Aufbau eines Verzeichnisses der Verarbeitungstรคtigkeiten geschehen, welches alle Datenverarbeitungsprozesse (NICHT die einzelnen Daten!) abbildet. Am Beginn steht dabei die Erhebung der relevanten Geschรคftsยญprozesse (z. B. Umgang mit Bewerbungen, Lohnverrechnung der Mitarbeiter:innen, etc.). Danach sind diese Daten in Kategorien zu bรผndeln, die jeweiligen Empfรคnger zu benennen und etwaige Lรถschfristen festzuhalten. Abschlieรend mรผssen noch technische und organisatorische Maรnahmen (TOMs) formuliert werden, welche in der Lage sind die Sicherheit der Daten auch zu gewรคhrleisten.
โ*โ zeigt erforderliche Felder an