Was macht die DSGVO?
Am 25.05.2016 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Anzuwenden ist die DS-GVO ab dem 25. Mai 2018 und sie wurde geschaffen, um die Rechte der EU-Bürger bei der Erhebung und Nutzung ihrer personenbezogenen Daten zu stärken. Im Vergleich zu vorher, gelten nicht mehr die Datenschutzgesezte aus dem Herkunftsland des verarbeitenden Unternehmens, sondern es sind die Gesetze aus dem Herkunftsland der betroffenen Person anzuwenden.
Welche Rechte und Pflichten erhalten die betroffenen Personen und die Verantwortlichen und wie setzt ihr diese um?
Grundlage und Rechtmäßigkeit bei der Verarbeitung von Daten
Identifiziert und dokumentiert die gesetzliche Grundlage, auf der ihr Daten erhebt. Sind die erhobenen Daten zweckgebunden und werden nicht zu einem anderen Zweck weiterverarbeitet, sind diese auf das notwendige Maß beschränkt, sind diese Daten richtig und korrekt oder müssen diese korrigiert werden und hebt Ihr die Daten auch nur so lange auf wie erforderlich.
Bestimmt ebenso, welche personenbezogenen Daten ihr habt, woher diese stammen und mit wem ihr sie teilt. Schließt ggfs. notwendige Vereinbarungen mit den jeweiligen Dienstleistern wie z.B. Steuerberater, Webdesigner, Inkassounternehmen, IT-Dienstleister, etc.
Nachweis der Einwilligungserklärungen
Stellt sicher, dass Ihr vor der Erhebung von personenbezogenen Daten eine Einwilligung der Nutzer habt – im Notfall müsst ihr das beweisen können. Diese Einwilligung muss eurerseits verständlich formuliert und leicht zugänglich sein und muss von dem Benutzer ausgeübt werden, z.B. durch das Anklicken eines Kästchens und anschließender Bestätigung. Dies gilt zum Beispiel beim Versand von Newslettern, aber auch bereits beim Besuch der Webseite (Cookies) oder bei der Verwendung von Social Media Buttons werden personenbezogene Daten übertragen.
Auch muss der Betroffene der gegebenen Einwilligung jederzeit widersprechen können
Recht auf Information und Transparenz
Es muss klar ersichtlich sein, wie euer Unternehmen mit den persönlichen Daten umgeht.
Überprüft wo Ihr überall Daten von Benutzern erhebt und ergänzt dort entsprechende Informationen. Aktualisiert eure Datenschutzrichtlinien auf eurer Website und passt alle Antrags-, Kontakt-, oder Aufnahmeformulare eures Unternehmens an um sicherzustellen, dass sie detailliert genug sind.
Dies sind vor allem folgende Informationen:
– Namen und Kontaktdaten des Verantwortlichen
– Kontaktdaten des DSB
– Zweck und Rechtsgrundlage der Verarbeitung
– Empfänger oder Kategorien von Empfängern der pb Daten
– ggfs. Übermittlung an Drittland
– Dauer der Speicherung und Kriterien zur Festlegung
– Bestehen von Auskunftsrecht, Widerspruchrecht, Datenübertragbarkeit, Widerrufsrecht
– Bestehen eines Beschwerderechts bei Aufsichtsbehörde
– Änderung der Verarbeitung
Recht auf Übertragbarkeit und Zugang zu Daten für Betroffene
Wenn ein Kunde seine Daten anfordert, müssen ihm diese in einem gängigen Format, wie z.B. einer Exceltabelle oder einem PDF Dokument, zur Verfügung gestellt werden. Richtet daher einen Prozess ein, über welchen dem Kunden seine Daten innerhalb eines Monats, unentgeltlich zur Verfügung gestellt werden können.
Weiterhin müsst Ihr euren Kunden deren persönlichen Daten für ihre eigenen Zwecke so bereitstellen können, dass diese die Daten in anderen Systemen weiter verwenden können. Das bedeutet, dass ihr den Kunden diese Daten in einem übertragbaren und gängigem Format wie z. B. CSV zur Verfügung stellen müsst.
Recht auf Berichtigung und Löschung und Einschränkung
Ihr müsst dem Kunden gestatten, unvollständige oder ungenaue Informationen unverzüglich zu korrigieren. Der Kunde kann ebenso die Löschung seiner personenbezogenen Daten verlangen, auch wenn kein zwingender Grund für deren Verbreitung vorliegt.
Führt einen Plan ein, wie ihr beim der Vorgang der Datenlöschung und -aktualisierung vorgeht und erstellt ein Löschkonzept für gespeicherte Daten (z.B. 6 Jahre Geschäftsbriefe, 10 Jahre steuerrelevante Unterlagen, 6 Monate Bewerbungsunterlagen, etc.)
Zudem haben betroffene Personen das Recht, die Verarbeitung personenbezogener Daten zu sperren. In solchen Fällen können die Daten gespeichert werden, aber nicht mehr bearbeitet werden.
Melden von Datenschutzverletzungen
Plant und dokumentiert, wie ihr eine Missachtung der Datenschutzrichtlinien erkennen und dokumentieren wollt und wie ihr innerhalb 72 Stunden einen Meldevorgang auslösen könnt. Ebenso muss der Betroffene über die Datenschutzverletzung informiert werden.
Datenschutzbeauftragter
Erwägt es, einen Datenschutzbeauftragten bei euch einzustellen, jenachdem wie groß euer Unternehmen ist und wie viele Mitarbeiter ihr habt. Diese Position darf nicht der Geschäftsführer oder der Inhaber selbst sein. Notwendig ist die Ernennung eines Datenschutzbeauftragten immer bei Unternehmen die ständig 10 Mitarbeiter mit Verarbeitung personenbezogener Daten beschäftigen und bei mehr als 20 Mitarbeiter ohne Verarbeitung von personenbezogenen Daten. Werden regelmäßig Daten besonderer Kateorien (z.B. Gesundheitsdaten) verarbeitet ist ebenfalls ein Datenschutzbeauftragter zu benennen. Informiert über die Bestellung eines Datenschutzbeauftragten an zentraler Stelle, wie z.B. eurer Webseite.
Anpassen der Technik
Macht euch mit dem neuen Datenschutz durch Technikgestaltung und durch Voreinstellungen vertraut. Legt daher technische und organisatorische Maßnahmen fest, um die personenbezogenen Daten durch den Einsatz von technisch organisatorischen Maßnahmen sicher verschlossen zu halten. Verwehrt z.B. Unbefugten den Zutritt zu Räumen in denen personenbezogene Daten verarbeitet werden und schützt eure IT-Systeme vor Zugriff und Zugang durch nicht berechtigte Personen. Trefft Maßnahmen zur sicheren Weitergabe von Daten und trennt Daten bei Zugriff verschiedener Kunden sicher voneinander. Achtet darauf, dass eure IT-Systeme belastbar sind und ihr im Zweifelsfall auch Daten wiederherstellen könnt.
Umgang mit Risiken
Dokumentiert eure Verfahren in denen Ihr personenbezogene Daten verarbeitet in einem Verzeichnis für Verarbeitungstätigkeiten mit folgenden Angaben:
– Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragten
– Zweck der Verarbeitung
– Rechtsgrundlage
– Kategorie der betroffenen Personen und personenbezogenen Daten
– Kategorie von Empfängern der Daten
– Übermittlung in Drittstaaten
– Löschfristen
– Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Dies gilt nicht für Unternehmen mit weniger wie 250 Mitarbeitern, außer es werden regelmäßig personenbezogene Daten oder Daten besonderer Kategorien (z.B. Gesundheitsdaten) verarbeitet.
Weiterhin ist bei vorrausichtlichen hohem Risiko für die Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung von personenbezogenen Daten eine Datenschutzfolgeabschätzung durchzuführen, in der die Risiken bewertet und die Maßnahmen dokumentiert werden. Dies ist insbesondere bei der automatischen Verarbeitung (einschl. Profiling), sowie bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien erforderlich.
Sensibiliserung der Mitarbeiter
Sensibilisiert und schult eure Mitarbeiter auf die Einhaltung der neuen Gesetzeslage und im Umgang und in der Verarbeitung von personenbezogenen Daten.
Bei Fragen zur EU-DSGVO wendet euch gerne an uns!
quego – design your business
Zelterstrasse 7
66636 Theley
Tel.: +49 6853 897085
Mobil.: +49 178 6424154
Email: sb@quego.net