Die neue Datenschutzgrundverordnung
Man kann wohl sagen, dass weltweit nichts so viel produziert wird, wie Daten. Im Jahr 2016 waren es etwa 16 Zettabyte (eine 16 mit 21 Nullen). Glaubt man Studien zu diesem Thema, dann werden im Jahr 2025 voraussichtlich 163 Zettabyte an Daten erzeugt werden, ein Großteil davon persönliche Daten. Allein diese Mengen machen deutlich, dass Daten einen besonderen Schutz verdienen. Und wie ein solcher Schutz zukünftig aussehen soll, hat der Europäische Gesetzgeber mit der Datenschutz-Grundverordnung (VO EU 2016/679) festgelegt.
Die Datenschutz-Grundverordnung, kurz DS-GVO, trat am 25.05.2018 in Kraft. Sie gilt für alle Unternehmen, die ihren Sitz innerhalb der EU haben oder aber Daten zu dem Zweck verarbeiten, Waren oder Dienstleistungen innerhalb der EU anzubieten. Damit sind auch weltweit genutzte Dienste wie Facebook, Google u. a. der DS-GVO unterworfen.
Darüber hinaus gilt die DS-GVO immer dann, wenn personenbezogene Daten automatisiert oder nichtautomatisiert verarbeitet werden, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Hinter dieser förmlichen Definition verbirgt sich folgendes:
Personenbezogene Daten sind letztlich alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Darunter fallen natürlich der Name, die Adresse, das Geburtsdatum einer Person, aber auch das Kfz-Kennzeichen.
Ein Dateisystem ist nicht nur der PC, sondern jede strukturierte Sammlung personenbezogener Daten, darunter fällt auch schon der Aktenschrank. Verarbeitung ist letztlich alles, was man mit Daten machen kann. Darunter fallen die Datenerhebung, Speicherung, das Löschen von Daten etc.
Damit wird deutlich, dass nahezu jedes Unternehmen unter den sogenannten sachlichen Anwendungsbereich der DS-GVO fällt. Denn Unternehmen werden im Alltagsgeschäft i. d. R. Kundendaten, jedenfalls aber Personaldaten verarbeiten und damit der DS-GVO unterfallen.
Die DS-GVO sieht diverse Grundsätze der Verarbeitung personenbezogener Daten vor. Die Verarbeitung darf nur rechtmäßig erfolgen, sie muss mit den Grundsätzen von Treu und Glauben vereinbar sein. Die Verarbeitung muss vor allem für den Betroffenen nachvollziehbar (Transparenzgrundsatz) erfolgen. Hinzu kommt, dass die Verarbeitung nur zu legitimen und vorher festgelegten Zwecken erfolgen darf sowie eine Vielzahl weiterer Grundsätze.
Verstöße gegen diese Grundsätze können fortan mit teils deftigen Bußgeldern geahndet werden. Sanktionen bis zu 20.000.000,- € oder 4 % vom Jahresumsatz eines Unternehmens sind möglich.
Über eine der wichtigsten Änderungen für deutsche Unternehmen ist bereits seit Wochen viel zu lesen und zu hören: der Datenschutzbeauftragte. In Abweichung zur DS-GVO sieht der Deutsche Gesetzgeber die Benennung eines Datenschutzbeauftragten vor, soweit mindesten zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dabei ist aber auch hier von einer weiten Definition auszugehen, sodass schon kleine und mittelständige Unternehmen zukünftig einen Datenschutzbeauftragten benötigen werden.
Als Datenschutzbeauftragte können interne Mitarbeiter benannt werden, wenn sie eine entsprechende berufliche Qualifikation haben und das benötigte Fachwissen mitbringen. Sie sollten deshalb regelmäßig Schulungen besuchen. Ausgeschlossen sind Mitglieder der Geschäftsführung, die Personalleitung oder auch der IT-Administrator.
Im Übrigen besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu benennen.
Und daher freuen wir uns mitteilen zu können, dass wir Ihnen zukünftig auch diesen Service anbieten können. Der Autor ist zertifizierter Datenschutzbeauftragter und bereits als externer Datenschutzbeauftragter tätig und steht Ihnen in Belangen des Datenschutzes gerne zur Seite.
Sie haben noch keinen Datenschutzbeauftragten? Wir helfen gerne weiter! => hier gehts zum Datenschutz