Datenschutz-Grundverordnung (DSGVO) - FAQ Teil 2

Datenschutz-Grundverordnung (DSGVO) – FAQ Teil 2

28.02.2018

Bereits in weniger als 3 Monaten ist es so weit und die Datenschutzgrundverordnung der EU – DSGVO – tritt in Kraft.

 

Diese Neuerung hat für die meisten Unternehmen, und vor allem für Werbetreibende, gravierende Auswirkungen. Und dennoch sind sich viele Vermarkter diesen bislang nicht vollständig bewusst.

 

Daher haben wir in unserem übersichtlichem FAQ alle wichtigen Fakten rund um die DSGVO zusammengefasst. Hier geht’s zum ersten Teil.

 

 

Teil 2:

 

 

Was sind die neuen Pflichten für Unternehmen?

 

Im Grunde erweitert die DSGVO für Unternehmen die bereits bekannten Pflichten und erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz.

 

Die wichtigsten Neurungen beinhalten:

 

  • die erweiterten Pflichten im technischen Datenschutz (u.a. Pflicht zur Führung eines Verarbeitungsverzeichnisses und die Verankerung der Mitverantwortung der Auftragsverarbeiter),
  • die Erweiterung der Transparenz- und Informationspflichten,
  • die erweiterten Mitwirkungs- und Meldepflichten,
  • die Einführung einer Datenschutzfolgenabschätzung sowie
  • die Erweiterung für die Benennung eines Datenschutzbeauftragten.

 

 

Unter welchen Voraussetzungen ist die Datenverarbeitung erlaubt?

 

Die rechtmäßige Datenverarbeitung setzt voraus, dass einer der nachfolgenden Erlaubnistatbestände erfüllt ist:

 

  • Es liegt die Einwilligung der betroffenen Person vor.
  • Es gibt ein berechtigtes Interesse an der Datenverarbeitung und schutzwürdige Interessen des Betroffenen (insbesondere von Kindern) stehen dem nicht entgegen.
  • Die Datenverarbeitung ist erforderlich
    • zur Erfüllung eines Vertrags,
    • für vorvertragliche Maßnahmen auf eine Anfrage hin,
    • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen,
    • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person,
    • im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.

 

 

Was bedeutet „Privacy by Design“ und „Privacy by Default“?

 

„Privacy by Design“ heißt übersetzt „Datenschutz durch Technikgestaltung“. Um gemäß der DSGVO eine konforme Organisation des Datenschutzes über den gesamten Lebenszyklus der personenbezogenen Daten etablieren zu können, müssen von der Konzeption bis zur Überwachung bzw. Verarbeitung technische und organisatorische Lösungen eingesetzt werden, die dem aktuellen „State of the Art“ entsprechen. Auf diese Weise soll eine Datenschutzverletzung erst gar nicht ermöglicht werden.

 

„Privacy by Default“ entspricht dem Grundsatz der Datensparsamkeit. Alle Datenerhebungen sollen individuell auf das jeweils Notwendige minimiert werden. Zudem sollen, wenn möglich, der zugriffsberechtigte Personenkreis beschränkt und sämtliche Daten pseudonymisiert und verschlüsselt werden. Letzteres ist insbesondere dann wichtig, wenn Daten durch datenverarbeitende Dienstanbieter oder in einer Cloud ausgewertet werden.

 

Bei diesen beiden Grundsätzen geht es also darum, so wenig Daten wie möglich und diese so gut geschützt wie möglich zu ermitteln und zu nutzen, um Datenschutzverletzungen verhindern zu können.

 

 

Wie sollten sich Unternehmen auf die DSGVO vorbereiten?

 

Für eine optimale Vorbereitung auf die DSGVO müssen alle wichtigen und relevanten Stellen innerhalb eines Unternehmens über die anstehenden Neuerungen im Datenschutz informiert werden. Neben dem betrieblichen Datenschutzbeauftragten sind das vor allem:

 

  • Geschäftsleitung: Die Geschäftsleitung sollte über die veränderte datenschutzrechtliche Praxis im Unternehmen Bescheid wissen.
  • Recht und Compliance: Durch die DSGVO müssen voraussichtlich eine Vielzahl an Verträgen angepasst werden. Die Compliance-Abteilung muss zudem bei der Gefährdungsanalyse Risiken für Datenschutzverstöße miteinbeziehen, die durch die hohen Bußgelder deutlich höher zu bewerten sind.
  • IT-Security: Für das geforderte Risk Assessment zur Festlegung der technisch-organisatorischen Maßnahmen sollte man prüfen, wie diese sinnvoll mit ohnehin bereits durchgeführten IT-Security Risikoassessments harmonieren oder sich ergänzen können.
  • Finanzen: Durch die Anpassungsprozesse können im Unternehmen erhebliche Kosten entstehen, die entsprechend berücksichtigt werden müssen.
  • Forschung und Entwicklung: Vorschriften wie „Privacy by Design“ und „datenschutzrechtliche Voreinstellungen“ stellen u. a. auch Anforderungen an die Produktentwicklung und -implementierung. Es sollten daher schon in frühem Projektstadium bei Produktentwicklungen auf die Einhaltung datenschutzrechtlicher Prinzipien geachtet werden.
  • Personalabteilung und Betriebsrat: Bei der Nutzung von an die DSGVO angepassten Betriebsvereinbarungen zur Regelung des Beschäftigtendatenschutzes sollten die Mitbestimmungsrechte des Betriebsrates im Blick behalten werden. Außerdem werden Schulungen für die Mitarbeiter zu den Neuregelungen der DSGVO benötigt werden.

 

 

Welche Prozesse und Dokumente müssen in Unternehmen überprüft werden?

 

Folgende Dokumente sollten bis zum Stichtag 25. Mai 2018 an die neuen Bestimmungen der DSGVO angepasst werden:

 

  • Anpassung der Datenschutzerklärung hinsichtlich der Erweiterung der Informationspflicht.
  • Anpassung der bestehenden Betriebsvereinbarungen an die DSGVO.
  • Anpassung der Einwilligungserklärungen, hier sind besonders die Verschärfungen hinsichtlich der formalen Angaben zu beachten.
  • Anpassung der Widerruferklärung an die DSGVO.
  • Anpassung der Vereinbarungen zur Auftragsdatenerfassung – speziell die Haftungsregelung.

 

Folgende Prozesse innerhalb Ihres Unternehmens sollten ebenfalls bis zum Stichtag an die DSGVO angepasst und ggf. neu aufgesetzt werden:

 

  • Prozess für den Widerruf einer Einwilligungserklärung
  • Prozess zur Umsetzung von Widersprüchen
  • Prozess bzw. Vorgehen bei Datenpannen
  • Prozess der Datenübertragung in ein gängiges elektronisches Format
  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  • Schulungen für die Mitarbeiter zu den Neuerungen im Datenschutz durch die DSGVO
  • Schulungen für die Mitarbeiter zu neuen, an die DSGVO angepassten Prozessen im Unternehmen

 

 

Wann brauche ich einen Datenschutzbeauftragten?

 

In den folgenden Fällen muss ein Datenschutzbeauftragter ernannt werden:

 

  • öffentliche Behörden,
  • Organisationen, die eine systematische Überwachung in großem Maßstab durchführen, oder
  • Organisationen, die in großem Umfang sensible personenbezogene Daten verarbeiten.

(Art. 37 Abs.1 DSGVO)

 

Weitere Infos zur  Datenschutz-Grundverordnung gibt es in unseren FAQ’s Teil 1

 
 

Quellen:

 

https://dsgvo-gesetz.de/

https://blog.sage.de/digitaletrends/eu-dsgvo/faq-dsgvo/

http://www.rechtsanwalt.de/eu-dsgvo-fragen-und-anworten-faq/

https://www.bitkom.org/Bitkom/Publikationen/FAQ-zur-Datenschutzgrundverordnung.html

 

Haftungsausschluss: Die in diesem Artikel enthaltenen Informationen stellen keine rechtliche Beratung dar. Jede Person, die beabsichtigt, sich auf die hierin enthaltenen Informationen zu verlassen oder diese zu nutzen, ist allein dafür verantwortlich, die Informationen unabhängig zu überprüfen und gegebenenfalls unabhängigen Expertenrat einzuholen.

Diese 4 Trends treiben Marketing Analytics 2018 an

20.03.2018

In unserem datengetriebenen Zeitalter ist der Bedarf an qualitativ hochwertiger Marketinganalyse so groß wie nie zuvor. Denn Werbetreibenden stehen zunehmend mehr Datenmengen zur Verfügung, aus denen neue Insights über ihre Kunden und deren Kaufentscheidungen gewonnen werden können.   Zukunftsorientierte Unternehmen nutzen daher neue Analysetechnologien und -prozesse um das Marketing zu optimieren. In unserem Beitrag gehen […]

Mit soziodemografischen Daten zu mehr Customer Insights in der Marketing Attribution

14.03.2018

Konsumenten hinterlassen mit jedem Online-Werbekontakt oder dem Besuch einer Website ihre digitalen Fingerabdrücke und lassen uns über ihre Interessen, Abneigungen, Absichten etc. teilhaben. In Theorie bietet das Internet Werbetreibenden somit schon ausgezeichnete Möglichkeiten, um ihre potentiellen Kunden zielgerichtet mit relevanten Werbebotschaften und über die richtigen Kanäle zu erreichen.   Für viele Marketingverantwortlichen bleibt diese Möglichkeit […]

Personalisierung - Mit Machine Learning das Kundenerlebnis verfeinern

08.03.2018

In der heutigen digital gesättigten Welt, ist Markenblindheit die Norm und Verbraucher werden mehr Werbung und Angeboten ausgesetzt, als sie verarbeiten können. Der Konsument erwartet daher relevante Inhalte. Marketingleiter stehen unter Druck, diese Erwartungen zu erfüllen: denn die Konkurrenz ist groß, die Kunden sind preissensitiv und ungeduldig. In der kurzen Aufmerksamkeitsspanne des Kunden stehen Vermarkter […]