Ihr direkter Kontakt zu uns: +49(0)6897 – 500 9 500 • support@optimit.de
Ihr direkter Kontakt zu uns: +49(0)6897 – 500 9 500 • support@optimit.de
Daten sind das neue Vermögen und der Schutz dieser kostbaren Quelle ist ausschlaggebend für den Erfolg eines Betriebs. Für mittelständische Unternehmen im DACH-Raum bedeutet das, die DSGVO nicht nur zu befolgen, sondern sie als Gelegenheit zu verwenden, um Zuversicht zu schaffen und sich vor kostspieligen Strafen zu bewahren. In diesem Leitfaden lernen Sie, wie Sie die DSGVO-Anforderungen nicht nur bewältigen, sondern durch kluge Privacy-Strategien auch Ihre Business-Prozesse optimieren können. Erfahren Sie, wie Sie Privacy effizient in Ihre Betriebsstruktur integrieren und so Ihre Datenhandhabung zukunftssicher gestalten.
Weil Ansprüche ihrer Fahrgäste ignoriert wurden, muss Uber nun 10 Mio. Euro Strafe, da sie damit gegen die Datenschutzverordnung verstoßen haben (Quelle: https://www.heise.de/news/Fahrerrechte-missachtet-Uber-soll-10-Millionen-Euro-DSGVO-Strafe-zahlen-9616016.html); die Facebook-Unterfirma kommt mit „nur“ 51.000 Euro Strafe wegen eines Vergehens gegen die Informationspflicht relativ günstig weg (https://www.onlinehaendler-news.de/recht/politik-gesetze/132447-facebook-dsgvo-verstoss-51000-euro-bussgeld-zahlen). Aber diese zwei jüngsten Beispiele verdeutlichen: Die Bußgelder für Privacy-Verstöße sind enorm!
Während Großunternehmen solch beträchtliche Summen vielleicht ertragen können, gilt es diese als mittelständisches Unternehmen unbedingt abzuwenden – und zwar durch eine gewissenhafte und rechtskonforme Datenverarbeitung. Für mittelgroße Betriebe im deutschsprachigen Raum (Deutschland, AUT, CH) ist dies nicht nur eine Pflicht, sondern eine Chance, sich im Technologiezeitalter abzuheben. Dieser Ratgeber erklärt Ihnen, wie Sie die Herausforderungen einer rechtskonformen Datennutzung bewältigen können und von Sanktionen bewahrt bleiben.
Die Datenschutzverordnung stellt seit Frühjahr 2018 das Kernstück des Datenschutzrechts in der EU. Sie hat weitreichende Folgen auf die Art und Weise, wie Unternehmen Informationen sammeln, verarbeiten und archivieren. Ziel der DSGVO ist es, den Sicherung personenbezogener Daten zu stärken und zu standardisieren.
Die DSGVO stellt sicher, dass persönliche Informationen in der gesamten EU nach denselben Grundsätzen verarbeitet werden. Dies bietet nicht nur Vorteile für die Einwohner, die mehr Macht über ihre persönlichen Informationen erhalten, sondern auch für Betriebe, die nun in einem transparenten und kohärenten rechtlichen Rahmen agieren können. Ein wesentlicher Aspekt der DSGVO ist die Einführung härterer Vorgaben an die Einwilligung zur Datenbearbeitung. Firmen müssen sicherstellen, dass die Zustimmung der Beteiligten deutlich, eindeutig und ohne Zwang gegeben wird. Darüber hinaus haben betroffene Personen umfassendere Rechte, einschließlich des Rechts auf Information, Berichtigung, Löschung und Datenübertragbarkeit – diese sehen wir uns sofort noch im Detail an.
Die DSGVO verlangt von Unternehmen auch, dass sie technische sowie organisatorische Maßnahmen ergreifen, um ein adäquates Sicherheitsniveau sicherzustellen. Dazu zählen unter anderem die Verschleierung und Verschlüsselung persönlicher Informationen, wiederkehrende Security-Checks und Schulungen der Belegschaft im Datenschutz-Bereich. Auch hierauf gehen wir noch näher ein.
Fangen wir mit den wesentlichen Grundlagen zur gesetzestreuen Datenverarbeitung an. Die Datenschutz-Grundverordnung basiert auf den folgenden Leitsätzen, die Unternehmen bei der Verarbeitung ihrer Daten – insbesondere der personenbezogenen Daten – berücksichtigen müssen:
• Rechtmäßigkeit: Informationen dürfen nur auf gesetzeskonforme Weise und in einer für die Beteiligten transparenten Weise bearbeitet werden. Die Nutzung persönlicher Informationen darf demnach nur unter bestimmten, gesetzlich festgelegten Bedingungen erfolgen. Diese Bedingungen gewährleisten, dass Datenverarbeitung fair und transparent ist und die Rechte der Beteiligten geschützt werden.
• Zweckbindung: Daten dürfen nur für festgelegte, klare und legitime Zwecke gesammelt werden und nicht in einer mit diesen Absichten widersprüchlichen Weise weitergenutzt werden.
• Datensparsamkeit: Es dürfen tatsächlich nur die Daten erhoben werden, die für den konkreten Einsatz auch notwendig sind.
• Richtigkeit: Die Informationen müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein.
• Speicherbegrenzung: Informationen dürfen nur so lange archiviert werden, wie es für den bestimmten Einsatz notwendig ist.
• Sicherstellung und Diskretion: Die Verarbeitung muss in einer Weise erfolgen, die eine angemessene Sicherheit der Informationen sicherstellt.
Unternehmen müssen die Ansprüche der betroffenen Personen gemäß DSGVO respektieren und gewährleisten, dass diese ihre Rechte wahrnehmen können. Zu den wichtigsten Rechten gehören:
• Auskunftsrecht: Beteiligte haben das Recht zu erfahren, ob und welche persönlichen Informationen über sie verarbeitet werden.
• Recht auf Berichtigung: Betroffene können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Recht auf Löschung („Recht auf Vergessenwerden“): Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer Informationen verlangen.
• Recht auf Einschränkung der Verarbeitung: In bestimmten Situationen kann die Verarbeitung der Daten eingeschränkt werden.
• Recht auf Datenübertragbarkeit: Beteiligte haben das Recht, ihre Daten in einem strukturierten, üblichen und maschinenlesbaren Format zu bekommen und an einen anderen Datenverantwortlichen zu übermitteln.
• Einspruchsrecht: Betroffene können der Verarbeitung ihrer Informationen widersprechen, wenn diese auf legitimen Anliegen des Betriebs fundiert.
Ein wirksames Datenschutzmanagementsystem ist für die Erfüllung der DSGVO essentiell. Es hilft Unternehmen, die Einhaltung der Regeln zu überwachen und fortlaufend zu optimieren. Je nach Umfang und Art der Datenverarbeitung kann die Ernennung eines Datenschutzbeauftragten erforderlich sein – ab einer Anzahl von 20 Mitarbeitern, die innerhalb des Betriebs mit personenbezogenen Daten in Kontakt kommen, ist die Bestellung eines Datenschutzbeauftragten obligatorisch. Diese Fachkraft ist für die Kontrolle der Einhaltungsüberprüfung der Datenschutzvorschriften im Betrieb zuständig und agiert als Kontaktperson für die Aufsichtsbehörden und betroffenen Personen.
Wenn es im Betrieb Arten der Datenverarbeitung gibt, die ein erhebliches Risiko für die Privilegien und Freiheiten individueller Personen mit sich bringen, ist gemäß der DSGVO eine sogenannte Datenschutz-Folgenabschätzung notwendig. Sie hilft, mögliche Gefahren zu identifizieren und geeignete Schutzmechanismen zu deren Reduzierung zu implementieren.
Allgemein gilt: Unternehmen müssen belegen können, dass sie die DSGVO-Vorschriften einhalten. Eine detaillierte Dokumentation aller Datenverarbeitungsvorgänge sowie der ergriffenen Datenschutzmaßnahmen ist also für jedes Unternehmen innerhalb der EU obligatorisch. Dazu gehören auch regelmäßige Überprüfungen und Aktualisierungen der Privacy-Richtlinien.
Um die Datenintegrität und Vertraulichkeit personenbezogener Daten zu gewährleisten, müssen Firmen angemessene TOMs ergreifen. Diese Maßnahmen sollen gewährleisten, dass die Daten vor unerlaubtem Zugang, Verlust oder Schädigung geschützt sind.
Technische Schutzmaßnahmen umfassen alle technischen Sicherheitsvorkehrungen, die dazu führen, die Sicherheit der Daten zu sichern. Dazu gehören:
• Verschlüsselung: Informationen sollten sowohl bei der Datenübermittlung als auch bei der Datenarchivierung kodiert werden, um unerlaubten Zugang zu verhindern.
• Zugriffskontrollen: Der Zugriff auf personenbezogene Daten sollte auf befugte Personen beschränkt werden.
• Sicherheitsupdates: Kontinuierliche Updates der Software und Systeme helfen, Sicherheitslücken zu schließen und Angriffe zu verhindern.
• Datensicherung: Wiederkehrende Backups der Informationen sind unverzichtbar, um Datenverluste zu verhindern und die Wiederherstellung im Falle eines Datenverlusts zu ermöglichen.
Neben den technischen Maßnahmen sind auch interne Maßnahmen notwendig, um den Privacy-Schutz sicherzustellen. Dazu gehören:
• Schulungen: Mitarbeiter sollten wiederkehrend über die Privacy-Regeln und den korrekten Umgang mit Daten unterwiesen und trainiert werden.
• Richtlinien und Verfahren: Unternehmen sollten klare Datenschutzrichtlinien und -verfahren implementieren, die den Umgang mit personenbezogenen Daten strukturieren.
• Vertragsmanagement: Bei der Kooperation mit Serviceanbietern, die Zugang zu personenbezogenen Daten haben, sollten angemessene Datenschutzvereinbarungen abgeschlossen werden.
Die Einhaltung der Datenschutz-Grundverordnung wird von staatlichen Datenschutzbehörden überwacht. Diese Institutionen haben weitreichende Vollmachten und können bei Regelverletzungen (wie bereits erwähnt) hohe Bußgelder verhängen. Firmen sollten – unabhängig von ihrer Größe – direkt mit den Datenschutzaufsichtsbehörden kooperieren und diese bei Privacy-Verstößen sofort informieren. Um präzise zu sein, hat jedes Unternehmen die Verpflichtung, innerhalb von 72 Stunden nach Entdeckung einer Datenschutzverletzung die zuständige Regulierungsbehörde zu kontaktieren. 72 Stunden sind nicht viel – wer keine etablierten Prozesse im Fall der Fälle hat, kann diese Frist vielleicht nur schwer wahren!
Die Summe der Geldbußen bei Vergehen gegen die Datenschutz-Grundverordnung richtet sich nach der Schwere des Regelbruchs und der Betriebsgröße des Betriebs.
Um den Anforderungen der rechtskonformen Datenverarbeitung erfolgreich zu begegnen, sollten mittelständische Unternehmen einige Best Practices beachten: Privacy-Schutz sollte zum einen von Beginn in alle Business-Prozesse integriert werden („Privacy by Design“). Privacy-Schutzmaßnahmen und Richtlinien sollten zudem regelmäßig überprüft und bei Notwendigkeit aktualisiert werden. Die Unternehmensführung sollte ferner aktiv in den Privacy-Schutz-Prozess eingebunden sein und die Relevanz des Privacy-Schutzes im Unternehmen unterstreichen. Und nicht zuletzt sollten Unternehmen ihre Klienten transparent über die Datennutzung informieren und deren Zustimmung anfordern, wo notwendig.
Schlusswort
Die rechtskonforme Datenverarbeitung ist eine vielschichtige, aber unverzichtbare Verpflichtung für mittelgroße Betriebe im deutschsprachigen Raum. Die Befolgung der Datenschutz-Grundverordnung und anderer Privacy-Gesetze bewahrt nicht nur die Ansprüche der betroffenen Personen, sondern stärkt auch die Zuversicht der Klienten und fördert die nachhaltige Kundenbindung.
Durch die Einführung eines effektiven Datenschutzmanagementsystems, die Einleitung technischer und organisatorischer Maßnahmen und die direkte Kooperation mit den Aufsichtsbehörden können Unternehmen die Herausforderungen der Technologie-Welt bewältigen und ihre Informationen sicher und gesetzestreu verarbeiten.
Wenn Sie Anliegen haben oder Hilfe bei der Umsetzung der Datenschutzvorgaben brauchen, stehen wir Ihnen jederzeit zur Seite. Kontaktieren Sie uns noch heute, um gemeinsam Ihre Datennutzung auf gesetzestreue Grundlagen zu bringen.
Sulzbachtalstr. 128
66125 Saarbrücken
E-Mail: info@optimit.de
Tel.: +49 (0) 6897 – 500 9 500
Fax: +49 (0) 6897 – 500 9 569
