DSGVO für Hamburger Unternehmen – was Sie wissen müssen

DSGVO

Die neue Datenschutzgrundverordnung – DSGVO 

Die neue Verordnung der EU, die Datenschutzgrundverordnung (DSGVO), gilt seit dem 25.05.2018 für Unternehmen, die personenbezogene Daten natürlicher Personen verarbeiten. Seit dem gab und gibt es viel Aufregung und Unsicherheit rund um dieses Thema und es steht die Frage im Raum, wie man mit den Anforderungen der Verordnung am Besten umgeht. In Zusammenarbeit mit der Initiative Datenschutz Hamburg haben wir die wichtigsten Informationen für Sie zusammengefasst.

Gerne geben wir Ihnen in diesem Artikel einen Überblick über die tatsächlichen Inhalte der Verordnung und zeigen auf, welche Rechte und Pflichten für Sie als verantwortliches Unternehmen im Rahmen der Verordnung entstehen. Aber auch, welche Möglichkeiten ein Betroffener in Zukunft hat, von den Inhalten der Verordnung Gebrauch zu machen. Zusätzlich erhalten Sie Tipps, die Ihnen bei der Umsetzung der Anforderungen in der Praxis helfen werden. Wir stützen uns dabei ganz konkret auf die Verordnung selbst und lassen voreilige Interpretationen aus dritter Hand außen vor. Gerne können Sie sich dazu auch unser Video ansehen.

Welches Ziel wird mit der DSGVO verfolgt?

Bisher gab es teilweise gravierende Unterschiede bei dem Schutz personenbezogener Daten unter den Ländern der EU. Laut dem EU-Parlament und dem EU-Rat können diese Unterschiede im Schutzniveau ein Hemmnis für die unionsweite Wirtschaft darstellen und u.a. den Wettbewerb verzerren. Deshalb und aufgrund der technikbedingt starken Zunahme der Verarbeitung personenbezogener Daten durch die Digitalisierung diverser Wirtschaftszweige, werden die Vorgaben im Rahmen der Richtlinie harmonisiert.

Gelten die Inhalte der DSGVO für mich als Unternehmen überhaupt?

Sollten sie personenbezogene Daten natürlicher Personen verarbeiten, dann gilt diese Verordnung für Sie. Ganz klar von dieser Verordnung nicht betroffen ist die Verarbeitung personenbezogener Daten juristischer Personen. Es ist zudem ebenfalls die manuelle Verarbeitung personenbezogener Daten in einem Ordnersystem betroffen.

Das klingt ja schön und gut, was bedeutet die Datenschutz-Verordnung konkret für mich?

Ein “wahrloses” Speichern und Verarbeiten von personenbezogenen Daten ist mit dieser Verordnung nicht mehr möglich. Die Daten betroffener Personen dürfen nur noch so lange verarbeitet und gespeichert werden, wie es bspw. für die Erfüllung eines Vertrags notwendig ist. Danach darf eine Identifizierung nicht mehr möglich sein. Zusätzlich sind Maßnahmen zu treffen, die einen angemessenen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung gewährleisten. Hier wird zwischen technischen Lösungen wie der Pseudonymisierung und der Anonymisierung und organisatorischen Maßnahmen zum Schutz unterschieden.

Bei Verstößen gegen die Verordnung ist eine Maximalstrafe von 20.000.000,00€ oder eine Strafe in der Höhe von 4% des weltweit erwirtschafteten Gesamtumsatzes des vergangenen Geschäftsjahres vorgesehen. Je nach dem, welcher Betrag der Höhere ist.

Wann dürfen personenbezogene Daten überhaupt noch erhoben werden?

Eine Verarbeitung personenbezogener Daten darf nur noch stattfinden sofern
• die Person Ihre Einwilligung zu der Verarbeitung gegeben hat,
• eine Verarbeitung für die Erfüllung eines Vertrages notwendig ist oder
• eine rechtliche Verpflichtung zur Verarbeitung besteht.
Es werden in der Verordnung noch weitere Voraussetzungen genannt, die für die meisten Firmen aus der freien Wirtschaft aus unserer Sicht allerdings nicht von Relevanz sind.

Wird die Einwilligung der betroffenen Person eingeholt, so müssen Sie als Unternehmen nachweisen können, dass die Einwilligung auch tatsächlich gegeben wurde. Es bietet sich daher an, immer eine schriftliche Einwilligung einzuholen und diesen Vorgang revisionssicher zu dokumentieren.

Sie stehen in der Pflicht, der betroffenen Personen Auskunft über die Art, den Umfang, die Dauer sowie weitere Eckdaten zu der Verarbeitung ihrer personenbezogenen Daten zu übermitteln. Dies gilt schon für den Zeitpunkt der Erhebung der Daten.

Zusätzlich zu der Auskunftsplicht sind Sie dazu verpflichtet, eine Löschung der personenbezogenen Daten vorzunehmen, u.a. sofern die betroffene Person dies fordert oder wenn keine Notwendigkeit zur Speicherung und Verarbeitung mehr besteht.

Außerdem hat die betroffene Person das Recht, von Ihnen als Unternehmen ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und auf Wunsch eine Berichtigung der gespeicherten Daten vornehmen zu lassen.

Die Führung eines sog. “Verzeichnis von Verarbeitungstätigkeiten” ist darüber hinaus vorgeschrieben, in dem die Zwecke der Verarbeitung und die Kategorien verarbeiteter personenbezogenen Daten hinterlegt werden. Eine Ausnahmeregelung dieser Anforderung für Unternehmen mit weniger als 250 Mitarbeitern besteht zwar, diese ist jedoch in den wenigsten Fällen tatsächlich anzuwenden.

Sie merken, es gibt eine Reihe von Anforderungen, die im Rahmen der DSGVO angewandt werden müssen. In der eigentlichen Verordnung sind allerdings noch viele weitere Aspekte geregelt wie z.B. der Umgang mit Auftragsdatenverarbeitern und der Datenweitergabe in Drittländer. Einen ersten Überblick über die wichtigsten Inhalte haben Sie mit diesem Artikel erhalten.

DSGVO in der Praxis

Schon mit organisatorischen Maßnahmen wie der Einführung von Handlungsanweisungen zum Umgang mit schützenswerten Daten lässt sich aus unserer Sicht eine Menge erreichen. Unter Hinzunahme von technischen Lösungen wie der Anonymisierung sind die Anforderungen schnell erfüllt.

Um es kurz zu machen:

  • Holen Sie sich immer eine Einverständniserklärung in schriftlicher Form ein.
  • Verarbeiten Sie Daten erst dann, wenn das Einverständnis gegeben wurde. Eine Möglichkeit dazu auf Webseiten sind bspw. Checkboxen. Diese dürfen neuerdings allerdings nicht bereits angehakt sein, sondern müssen aktiv durch den Betroffenen angewählt werden.
  • Erstellen Sie Handlungsanweisungen und Kommunikationsvorlagen für Ihre Mitarbeiter, in denen fallspezifisch der Umgang mit den betroffenen Daten geregelt ist sowie Hilfestellungen bei Fragen durch den Kunden.
  • Prüfen und dokumentieren Sie, wann, wo und wie lange personenbezogene Daten in Ihrem Unternehmen anfallen und was damit i.d.R. passiert. Das gilt vor allem bei den Schnittstellen zum Kunden und Geschäftspartnern wie bspw. Webseiten und Webshops.
  • Wenn Sie merken, dass betroffene Daten nie gelöscht werden, dann geben sie organisatorische oder bestenfalls technische Vorgaben in Form automatisierter Lösch- oder Anonymisierungsroutinen vor.
  • Und natürlich, stellen Sie ihren internen Datenschutz auf die Probe. Starten Sie am besten mit der Einstellung von restriktiven Zugriffsrechten auf Laufwerke, Datenbanken und ähnliches. Gerne können wir Sie dabei unterstützen.

Mit der DSGVO-Beratung von futuremind in Kürze die Compliance-Richtlinien erfüllen

Damit Sie Ihrem Tagesgeschäft ungestört weiter nachgehen können und parallel datenschutzkonform arbeiten, unterstützen wir Sie gerne. Wir freuen uns auf Ihre Anfrage.

In vier Wochen DSGVO-konform mit futuremind.

Besuchen Sie uns online: https://thefuturemind.de/

Beste Grüße,

Robert Kahl

CEO

 

Quelle: VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016

By | 2018-11-10T14:45:45+00:00 Juli 6th, 2018|Uncategorized|0 Comments

Leave A Comment

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen