Die Datenschutz-Grundverordnung (DSGVO) - was bedeutet sie für Ihr Unternehmen?

Die Digitalisierung verändert die Welt rasant. Auf der einen Seite erleichtert sie das Leben. Auf der anderen Seite bergen all diese Daten ihre eigenen Risiken, insbesondere im Bereich der Privatsphäre. Das ist ein wichtiges Thema für die Europäische Union, und das ist der Grund für die Datenschutz-Grundverordnung (DSGVO), die zahlreiche mittelständische Unternehmen betrifft.

DSGVO – worum geht es und wann tritt die Gesetzgebung in Kraft?

Die Datenschutz-Grundverordnung (DSGVO) wurde zur Stärkung und Standardisierung des Datenschutzes von Einzelpersonen in der Europäischen Union erarbeitet. Viele Unternehmen sind von der DSGVO betroffen. Daher ist es wichtig, vorbereitet zu sein. Die Gesetzgebung ist ein neues Rechtsinstrument, das am 27. April 2016 verabschiedet wurde und am 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren in Kraft tritt. Im Gegensatz zu einer Leitlinie erfordert die DSGVO keine weiteren Rechtsvorschriften der Regierungen.

Was ist in der DSGVO enthalten?

Die DSGVO enthält eine Reihe von Grundsätzen für den Datenschutz, die für Unternehmen wichtig sind:

Rechtmäßigkeit, Integrität und Transparenz – Unternehmen müssen personenbezogene Daten in einer legitimen und transparenten Weise verarbeiten und mit Integrität in Bezug auf die Personen handeln, deren Daten betroffen sind.

Integrität und Vertraulichkeit – Unternehmen müssen personenbezogene Daten so verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist. Dies schließt die Absicherung gegen unbefugte oder illegale Verarbeitung und unbeabsichtigten Verlust, Zerstörung oder Beschädigung ein. Unternehmen müssen dies durch geeignete technische und organisatorische Maßnahmen erreichen.

Datenminimierung – Personenbezogene Daten müssen angemessen, relevant und nur für die Personen verfügbar sein, für die sie in Bezug auf die Zwecke, für die die Daten verarbeitet werden, vorgesehen sind.

Definieren des Zwecks – Unternehmen können personenbezogene Daten nur zu bestimmten, eindeutigen und gesetzmäßigen Zwecken sammeln und nicht in einer Weise weiterverarbeiten, die nicht den angestrebten Zwecken entspricht. Die Weiterverarbeitung personenbezogener Daten zu Archivierungszwecken für das öffentliche Interesse, die wissenschaftliche und historische Forschung oder zu statistischen Zwecken wird nicht als dem ursprünglichen Zweck entsprechend angesehen. In diesem Fall müssen die Organisationen die in Artikel 83, Absatz 1 aufgeführten Bedingungen erfüllen. Dieser Artikel beschreibt die Garantien und Anomalien in Bezug auf die Verarbeitung von Daten zu den oben genannten Zwecken.

Definieren der Speicherung – Unternehmen müssen personenbezogene Daten so speichern, dass die Identifizierung der relevanten Personen, deren Daten betroffen sind, nicht länger dauert, als unbedingt erforderlich ist, um die Ziele zu erreichen, für die das Unternehmen die personenbezogenen Daten verarbeitet. Personenbezogene Daten können für längere Zeit gespeichert werden, wenn sie für das öffentliche Interesse, die wissenschaftliche und historische Forschung oder zu statistischen Zwecken speziell für Archivzwecke verarbeitet werden. Dies muss jedoch gemäß Artikel 83, Absatz 1 sowie unter der Voraussetzung erfolgen, dass das Unternehmen angemessene technische und organisatorische Maßnahmen ergreift.

Richtigkeit – Personenbezogene Daten müssen korrekt sein und bei Bedarf aktualisiert werden. Unternehmen müssen alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass falsche personenbezogene Daten, die für die jeweiligen Zwecke, zu denen sie verarbeitet werden, sofort und ohne Verzögerung gelöscht oder berichtigt werden.

Verantwortlichkeit des Controllers

Der Unternehmenscontroller spielt bei der DSGVO eine wichtige Rolle. Er ist für die Compliance des Unternehmens mit den oben genannten DSGVO-Grundsätzen verantwortlich. Darüber hinaus muss der Controller diese Grundsätze nachweisen können.

Seien Sie vorbereitet

Was müssen Sie als Unternehmen tun, um sich auf die DSGVO vorzubereiten? Alle Unternehmen, die personenbezogene Daten verarbeiten, archivieren und weitergeben, müssen mit der DSGVO gut vertraut sein. Sie kann beispielsweise für die personenbezogenen Daten von (potenziellen) Kunden, Mitarbeitern oder Lieferanten relevant sein. Stellen Sie sicher, dass Sie eine Datenschutzrichtlinie erstellen. Wenn Sie bereits über eine Datenschutzrichtlinie verfügen, überprüfen Sie diese und sorgen Sie dafür, dass sie die neue Gesetzgebung erfüllt.

Aufgrund der neuen Gesetzgebung sind in Ihrem Unternehmen auch neue Verhaltensregeln und Schulungen erforderlich, um sicherzustellen, dass sich die Mitarbeiter den neuen Grundsätzen entsprechend verhalten. Abschließend sollten Sie außerdem sicherstellen, dass Ihr Controller die richtigen Mittel besitzt, um die Compliance des Unternehmens mit der DSGVO nachzuweisen. Es wird bis Mai 2018 dauern, bis diese Gesetzgebung in Kraft tritt. Doch die Vorbereitungen dürfen sich nicht verzögern und Sie sollten gewährleisten, dass Ihr Unternehmen rechtzeitig für die neuen Vorschriften bereit ist.

DSGVO

DSGVO

Möchten Sie mehr erfahren?

Weitere Informationen finden Sie hier »