In Sammlung (en) In der gespeicherten
  1. Geisteswissenschaft
  2. Kommunikation
  3. Marketing

NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND

Werbung 
NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND
BEHÖRDEN
Thomas Müthlein, Dr. Niels Lepperhoff
Im Mai dieses Jahres hat die EU das Datenschutzrecht in der EU mit der
„Datenschutz-Grundverordnung“ (DS-GVO) vereinheitlicht. Ab 25.5.2018 gilt sie für
alle Unternehmen und Behörden in der EU und ist durch sie umzusetzen.
Gleichzeitig werden die bisherigen nationalen Datenschutzgesetze der
Mitgliedsstaaten wie das deutsche „Bundesdatenschutzgesetz“ (BDSG) außer Kraft
gesetzt.
Unter Compliance Aspekten kommen mit der DS-GVO auf die Unternehmen neue
Anforderungen zu. Durch eine gesetzlich verankerte Rechenschaftspflicht
(Accountability) müssen Unternehmen und Behörden zukünftig jederzeit nachweisen
können, dass sie im Hinblick auf die Datenverarbeitung insbesondere von Kunden
und Mitarbeitern rechtmäßig im Sinne der DS-GVO handeln. Hierdurch entfällt für die
Datenschutzaufsichtsbehörden - soweit dieser Nachweis nicht erbracht werden kann
- die Notwendigkeit, ein Verschulden zu ermitteln. Die in diesen Fällen drohenden
Bußgelder von bis zu 20 Millionen Euro oder – sofern höher – 4% des weltweiten
Jahresumsatzes erreichen in neue Dimensionen und finden ihre Vorbilder im
Kartellrecht.
Daher ist es geboten, frühzeitig die Anforderungen der DS-GVO mit Blick auf das
eigene Unternehmen zu analysieren und die notwendigen Anpassungen
vorzunehmen.
Neben der Nachweispflicht und dem erhöhten Bußgeldrahmen betreffen die
Neuerungen insbesondere folgende Bereiche:
 Transparenz: Erweiterte Informationspflichten gegenüber Konsumenten und
Mitarbeitern in Verbindung mit neuen Rechten
 Erlaubnis zur Datenverarbeitung: neue Anforderungen an die Art und Weise
des Datenumgangs, die bisherigen gesetzlichen Erlaubnisse insbesondere für
Marketingaktivitäten entfallen
 Outsourcing: neue Anforderungen an Verträge mit Dienstleistern,
gesamtschuldnerische Haftung von Auftraggebern und Auftragnehmern in
Datenschutzfragen, neue Verantwortlichkeiten von Auftragnehmern
 IT-Sicherheit: Pflicht zur Erstellung eines IT-Sicherheitskonzepts und zur
Durchführung von Wirksamkeitstests.
1 Rechenschaftspflicht (Accounability)
Im Rahmen der neu eingeführten Rechenschaftspflicht muss ein Unternehmen
jederzeit nachweisen können, dass es sicherstellt, dass alle Vorgaben aller
Vorschriften der DS-GVO beim Umgang insbesondere mit Kunden- und
Mitarbeiterdaten eingehalten werden.
Seite 1 von 5
Solche Nachweise können sich insbesondere aus folgenden Dokumentationen
ergeben:
 Datenschutzkonzept,
 IT-Sicherheitskonzept,
 Beschreibung aller Prozesse, die personenbezogene Daten verarbeiten,
 Arbeitsanweisung und Belehrungen zum Umgang mit personenbezogenen Daten,
 Darstellung der rechtlichen Zulässigkeit der Datenverarbeitung pro Datum sowie
 Löschfrist pro Datum.
Dafür reicht es allerdings nicht, diese Dokumente einmal zu erstellen. Sie müssen
auch stets auf einem aktuellen Stand gehalten werden. Änderungen in Prozessen,
Softwaresystemen, aber auch Werbe- und Marketingmaßnahmen bedürfen
regelmäßig sowohl einer Prüfung auf ihre rechtliche Zulässigkeit als auch die
Anpassung der Dokumentation.
2 Informationspflichten
Eines der Hauptanliegen der DS-GVO ist es, betroffenen Personen wie Mitarbeitern
oder Kunden deutlich mehr Transparenz über den Umgang mit ihren Daten zu
geben. Aus diesem Grund sind künftig Personen bei der Erhebung Ihrer Daten
umfassend über den geplanten Umgang mit den Daten sowie ihre Rechte zu
informieren. Soweit Daten nicht bei den Betroffenen selbst - zum Beispiel bei einem
Vertragsabschluss - erhoben werden, sondern auf andere Art und Weise - zum
Beispiel durch Weitergabe von Adressdaten zu Marketingzwecken an ein
Tochterunternehmen - gewonnen werden, sind sie in nahezu den gleichen Umfang in
einem Zeitraum von maximal einem Monat zu informieren. Ausnahmen von diesen
Informationspflichten sind nahezu keine vorgesehen.
Auch wenn diese Informationspflichten erst ab 2018 verbindlich werden, wird man mit
der Umstellung schon früher beginnen müssen. Zum Stichtag müssen alle Formulare
zur Datenerhebung, wie zum Beispiel bei Bestellungen, Verträgen, Anträgen, ob
online oder offline den Anforderungen genügen. Gerade bei Druckwerken wie zum
Beispiel Katalogen mit einer längeren Vorlaufzeit für die Produktion sind diese
Anforderungen im Rahmen der beiliegenden Bestellformulare frühzeitig zu
berücksichtigen.
Im Rahmen der Informationspflichten ist z. B. künftig auch das Datum oder die Frist
der Datenlöschung anzugeben. Wer bisher Daten insbesondere von Kunden oder
Mitarbeitern nicht oder nur nach sehr langen Fristen löscht, wird hier nachbessern
müssen. Die Löschfristen sind pro Datum zu bestimmen, d.h. einige Kundendaten
sind schneller zu löschen als andere.
Auf die Gestaltung der Informationen wird man sich Gedanken machen müssen, da
sie in klarer und einfacher Sprache transparent gegeben werden müssen. Dies
schließt wohl ein „Verstecken“ in den AGB oder in einer Datenschutzerklärung auf
der Webseite aus. Da Verbraucher zukünftig immer wieder insbesondere auf Ihre
Beschwerderechte hingewiesen werden müssen, und auch Verbraucherverbände
diesbezüglich mit eigenen Rechten ausgestattet werden, steigt das Risiko für
Seite 2 von 5
Unternehmen bei Verstößen gegen die Transparenzpflichten zu Rechenschaft
gezogen zu werden.
3 Erlaubnis zur Datenverarbeitung insbesondere bei Marketing und
Werbeaktionen
Bisher konnten sich in Deutschland Unternehmen bei ihren Marketing und
Werbeaktionen auf besondere Regelungen im Bundesdatenschutzgesetz (BDSG)
stützen. Diese Regelungen entfallen im Rahmen der DS-GVO. Dies betrifft
insbesondere den erleichterten Umgang mit Daten aus öffentlich zugänglichen
Quellen wie zum Beispiel Telefon- oder Adressbüchern.
Das bedeutet, dass für die Beschaffung, Aufbereitung und Auswertung von Daten für
Marketingsaktionen neue Rechtsgrundlagen gefunden werden müssen, die die
Durchführung dieser Marketingaktivitäten gestatten. Dabei ist nicht auszuschließen,
dass hierzu zukünftig noch mehr als bisher eine Einwilligung der Betroffenen
erforderlich ist. Das gilt nicht nur für B2C- sondern auch für B2B-Bereich. Im Hinblick
auf die Schwierigkeit, Einwilligungen nachträglich einzuholen, sollte frühzeitig geprüft
werden ob gegebenenfalls erforderliche Einwilligungen bereits mit einer Bestellung
oder einem Vertragsabschluss eingeholt werden können.
Soweit künftig eine Datenverarbeitung ohne datenschutzrechtliche legitimierende
Rechtsgrundlage erfolgt, drohen Bußgelder bis zu 20 Millionen Euro oder sofern
höher – 4% des weltweiten Jahresumsatzes. Daneben kann ein Betroffener
Schadensersatzansprüche für materielle oder immaterielle Schäden z.B. für den mit
der Verarbeitung einhergehenden Grundrechtseingriff geltend machen.
Die neben den datenschutzrechtlichen Vorschriften im Bereich des Marketings zu
beachtenden
Regelungen
des
UWG
sowie
die
Regelungen
im
Telekommunikationsrecht und für Telemediendienste (Webseiten, Webstatistiken)
bleiben grundsätzlich bestehen.
4 Outsourcing
Längst ist die Einbeziehung von Dienstleistern in Unternehmensprozesse üblich.
Besondere im Hinblick auf die rasant steigende Nutzung von Cloud Dienstleistungen
werden zunehmend auch personenbezogene Daten wie zum Beispiel von Kunden
oder Mitarbeitern durch Dienstleister verarbeitet.
An eine solche Auftragsverarbeitung stellt die DS-GVO ähnliche Anforderungen wie
nach geltendem Recht. Allerdings ist auch hier ihre Nichteinhaltung wie zum Beispiel
eine Beauftragung ohne hinreichend konkretisierten Datenschutzvertrag
bußgeldbewehrt.
Die Bußgeldbewehrung aber nicht nur den Auftraggeber sondern auch einen
Auftragnehmer. Die DS-GVO sieht eigene - bußgeldbewehrte - datenschutzrechtliche
Pflichten der Auftragnehmer vor. So verstößt zum Beispiel ein Dienstleister gegen
Seite 3 von 5
seine datenschutzrechtlichen Auflagen, wenn er ohne einen hinreichend
konkretisierten Datenschutzvertrag Daten seiner Auftraggeber verarbeitet. Seine
Verantwortung geht aber auch in Richtung Unterauftragnehmer weiter. Zum Beispiel
ist es ihm nicht nur verboten, die ohne Zustimmung seiner Auftraggeber einzusetzen,
sondern er haftet auch mit diesem zusammen gesamtschuldnerisch für deren
Datenschutzverstöße direkt gegenüber dem Betroffenen.
Auftraggeber wie Auftragsverarbeiter müssen bestehende Dienstleistungsverhältnisse daraufhin überprüfen, ob sie den neuen Anforderungen gerecht werden. Soweit
dies nicht der Fall ist, zum Beispiel weil entsprechende Verträge fehlen, ist dies bis
zur Geltung der DS-GVO in Mai 2018 zu heilen.
5 IT-Sicherheit
Gegenüber dem heute in Deutschland geltenden Datenschutzrecht erhöht die DSGVO die Anforderungen an die IT-Sicherheit deutlich. Sie setzt voraus, dass ein
Unternehmen für die Verarbeitung personenbezogener Daten über ein
angemessenes, risikoorientiertes und dokumentiertes IT-Sicherheitskonzept bspw.
angelehnt an den Standard 100-2 des BSI verfügt. Eine – konzeptlose –
Aneinanderreihung technischer und organisatorischer Maßnahmen reicht hierzu nicht
aus.
Auch wenn mit der Angemessenheit und der Risikoorientierung schon zwei
Parameter für die Anforderungen an das IT-Sicherheitskonzept vorgegeben werden,
fordert die DS-GVO zusätzlich eine Anknüpfung am „Stand der Technik“. Damit wird
zum Beispiel der weitere Einsatz eines Betriebssystems wie Windows XP nicht nur
unter Sicherheitsaspekten sondern auch nach den Datenschutzanforderungen zu
einem (Bußgeld-) Risiko. Um die Wirksamkeit der Maßnahmen sicherzustellen,
haben
die
Unternehmen
regelmäßig
dokumentierte
Wirksamkeitstests
durchzuführen.
Soweit ein Unternehmen bisher bereits seine Sicherheit Maßnahmen an etablierten
Sicherheitsstandards wie dem BSI-Grundschutz oder der ISO 27001 orientiert,
können sie für die künftigen Datenschutzanforderungen auf einer guten Grundlage
aufbauen. Dennoch hier eine Abgleich mit den Anforderungen der DS-GVO
erforderlich.
6 Erste Schritte zur erfolgreichen Umsetzung
Diese knappe Übersicht über die Themen der insgesamt 99 Artikel umfassenden DSGVO zeigt, dass bis zu ihrer Geltung eine Menge zu tun ist. Es sollte daher bald mit
den ersten Schritten auf dem Weg zur Umstellung auf die DS-GVO begonnen
werden. Hierzu gehören insbesondere folgende Punkte:
 Information der relevanten Akteure (Geschäftsführung, Fachabteilungen, IT,
Betriebsrat)
 Aufbau oder Einkauf von Fachwissen über die Anwendung der DS-GVO
 Erhebung des Ist-Zustands u.a. mit
 Prozessen und ihrer Beschreibung (z.B. QM-Handbücher),
Seite 4 von 5





 Zwecken für jedes Datenfeld,
 Rechtsgrundlagen für jedes Datenfeld und
 Einschlägigen Löschfristen,
Aufbau eines Datenschutzmanagementsystems,
Aufbau oder Ausbau eines Dokumentationssystems,
Prüfung und Anpassung der Rechtsgrundlagen an DS-GVO,
Anpassung aller Verträge zur Auftragsdatenverarbeitung und
Prüfung und Anpassung der IT-Sicherheitsmaßnahmen.
Angesichts des hohen Anpassungsbedarfs erscheint die zweijährige Übergangszeit
eher zu kurz als zu lang.
7 Autoren
Thomas Müthlein
DMC Datenschutz Management & Consulting GmbH & Co. KG / Vorstand der
Gesellschaft für Datenschutz und Datensicherheit e.V.
Dr. Niels Lepperhoff
Xamit Bewertungsgesellschaft mbH / DSZ Datenschutz Zertifizierungsgesellschaft
mbH
Seite 5 von 5
Zugehörige Unterlagen
Verarbeitung personenbezogener Daten für Werbung
Verarbeitung personenbezogener Daten für Werbung
Technische Grundlagen und
Technische Grundlagen und
e.V. zu den im Rahmen der Beratungen zur EU
e.V. zu den im Rahmen der Beratungen zur EU
Link: Deutsch
Link: Deutsch
Privacy Policy In Sinne des Art. 13 des
Privacy Policy In Sinne des Art. 13 des
Aufklärungsschreiben im Sinne des Gesetzesvertretenden Dekretes
Aufklärungsschreiben im Sinne des Gesetzesvertretenden Dekretes
Daten schützen ist nicht schwer - IHK Kassel
Daten schützen ist nicht schwer - IHK Kassel
Sind Sie besonders?
Sind Sie besonders?
impressum | privacy policy
impressum | privacy policy
Microsoft Word - Musteranschreiben
Microsoft Word - Musteranschreiben
Aufklärungsschreiben im Sinne des
Aufklärungsschreiben im Sinne des
(5 x), Abteilungen 1
(5 x), Abteilungen 1
Herunterladen
Werbung