Am 25. Mai 2018 wird die EU-DSGVO unmittelbar geltendes Recht, die für ganz Europa geltende, einheitliche Datenschutzgrundverordnung. Persönliche Daten – Name, Geburtsdatum, E-Mail-Adresse, Postanschrift, Telefon- und Kontonummern, Kfz-Kennzeichen etc. – sollen über Ländergrenzen hinweg geschützt werden. Von der Neuregelung betroffen sind alle Unternehmen, die personenbezogene Daten verarbeiten, also auch solche, die keinen eigenen Datenschutzbeauftragten stellen müssen.
Bei Verstößen drohen hohe Strafen
Da das bisher gültige Bundesdatenschutzgesetz den Umgang mit persönlichen Daten schon sehr genau regelte, bedeutet die EU-DSGVO keine radikale Veränderung: Das ist die gute Nachricht. Trotzdem tun Betriebe gut daran, die Verordnung ernst zu nehmen, denn Verstöße werden zukünftig mit empfindlichen Strafen geahndet, die im schlimmsten Fall bis zu vier Prozent des Jahresumsatzes ausmachen können.
Sensibilisierung und Dokumentation
Die wichtigste Aufgabe wird es sein, die gesamte Datenerhebung lückenlos zu dokumentieren und gegebenenfalls Kundenannahme und Datenerfassung neu zu organisieren. Dazu gehören sowohl die Anschaffung einer modernen und sicheren Software als auch die Ernennung bzw. Hinzuziehung eines Datenschutzbeauftragten. Oft sind es kleine Unachtsamkeiten, die zu Datenschutzpannen mit ärgerlichen Konsequenzen führen. Hier gilt es, die einzelnen Mitarbeiter für das Thema zu sensibilisieren. Positiver Nebeneffekt: Sorgfalt bei der Verarbeitung von empfindlichen Personendaten wird auch der Kunde zu schätzen wissen, Unternehmen können ihre Professionalität damit unter Beweis stellen.
Der Zentralverband Deutsches Kraftfahrzeuggewerbe (ZDK) empfiehlt folgende Schritte:
- Bestandsaufnahme: Abläufe, bei denen personenbezogene Daten – Kundendaten, Beschäftigtendaten und Daten für Dritte als Auftragsverarbeiter – verarbeitet werden, müssen in einem Verzeichnis von Verarbeitungstätigkeiten gelistet und ständig aktualisiert werden.
- Zulässigkeit der Verarbeitung: Die Verarbeitung personenbezogener Daten bedarf einer gültigen Rechtsgrundlage. Sie muss außerdem mit Einwilligung des Betroffenen und zu einem bestimmten Zweck erfolgen. Dies muss regelmäßig geprüft und dokumentiert werden, zumal Kunden Einwilligungserklärungen jederzeit widerrufen können.
- Betroffenerechte und Informationspflichten: Alle Kunden müssen über die Verarbeitung ihrer Daten in allgemein verständlicher Sprache aufgeklärt werden. Weitere Betroffenenrechte: Recht auf Auskunft, auf Berichtigung, auf fristgemäße Löschung von Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit.
- Technik: Die technische und organisatorische Grundlage für eine datenschutzkonforme Verarbeitung muss gewährleistet sein.
- Verträge: Bestehende Verträge mit Herstellern und Dienstleistern müssen geprüft werden.
- Folgenabschätzung: Gibt es Arbeiten, bei denen die Rechte der Betroffenen im besonderen Maße gefährdet werden?
- Meldepflicht: Datenschutzverstöße müssen binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden, um Bußgelder zu vermeiden.
- Dokumentation: Die Einhaltung der Regeln muss schriftlich dokumentiert und regelmäßig aktualisiert werden.
Quelle: Krafthand | Foto: fotolia.com #192688875 Mediaparts
