Ratgeber: Neue DSGVO: Was bedeutet sie für Unternehmen?
Im November 2017 hat Trusted Shops bereits eine Umfrage unter Händlern veröffentlicht, nach der gerade einmal 64 Prozent überhaupt von der neuen Datenschutzgrundverordnung wussten. Dabei sollten sich Unternehmen frühzeitig mit den notwendigen Maßnahmen zur Einhaltung der DSGVO befassen, um gut vorbereitet zu sein, wenn sie am 25. Mai wirksam wird. Denn eine Übergangsfrist gibt es nicht. Und: Bei Verstoß drohen empfindliche Geldstrafen. Rafael Gomez-Lus, Datenschutzexperte bei Trusted Shops, hat Wissenswertes einmal kurz zusammengefasst.
Was ändert sich denn im Verhältnis zur bisherigen Datenschutzrichtlinie?
Rafael Gomez-Lus: Die grundlegende Änderung ist die Einführung einer Rechenschaftspflicht. Danach sind Unternehmen dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Das führt zu umfangreichen Dokumentations- und Nachweispflichten.
Welche Veränderungen müssen Unternehmen vornehmen, um die neuen Anforderungen zu erfüllen?
Rafael Gomez-Lus: Die Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Die Datenschutzerklärung muss aktualisiert werden. Einwilligungserklärungen müssen überarbeitet werden, wenn sie nicht die strengeren Anforderungen an die Freiwilligkeit erfüllen. Die Verträge mit Dienstleistern zur Auftragsverarbeitung müssen geprüft werden. Werden Datenverarbeitungen durchgeführt, welche ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Interne Prozesse müssen so angepasst werden, dass die Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch sowie das neue Recht auf Datenportabilität gewährleistet werden können. Die Anträge der Betroffenen müssen in der Regel innerhalb eines Monats bearbeitet werden.
Was bedeutet das für Unternehmen und ihre Dienstleister?
Rafael Gomez-Lus: Die Unternehmen müssen herausfinden, ob bei ihren Dienstleistern die Einhaltung der Anforderungen der DSGVO durch geeignete technische und organisatorische Maßnahmen gewährleistet ist. Sie müssen mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung schließen, indem beispielsweise festgehalten ist, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter des Dienstleisters zur Vertraulichkeit verpflichtet haben. Falls Daten in Staaten außerhalb der EU übermittelt werden, muss eine Garantie vorliegen, die ein angemessenes Datenschutzniveau gewährleistet.
Scoring ist nach wie vor zulässig, wenn der Betroffene seine ausdrückliche Einwilligung dazu gegeben hat oder es für den Abschluss oder die Erfüllung des Vertrags erforderlich ist. Das ist der Fall, wenn der Kunde die Zahlungsmethode „Kauf auf Rechnung“ oder „Ratenzahlung“ ausgewählt hat. Neu ist, dass der Betroffene über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung informiert werden.
Bis wann muss das alles geschehen sein?
Rafael Gomez-Lus: Die DSGVO ist schon seit dem 25. Mai 2016 in Kraft, wirksam wird sie am 25. Mai 2018. Es ist zu erwarten, dass vor allem Verbände Datenschutzerklärungen unter die Lupe nehmen werden.
Was müssen unternehmen fürchten, welche die Änderungen nicht fristgerecht umsetzen?
Rafael Gomez-Lus: Die Bußgelder sind wesentlich höher als bisher. Bei bestimmten Rechtsverstößen sind Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes eines Unternehmens vorgesehen. Es ist schwer vorherzusehen, inwiefern die Aufsichtsbehörden in der Praxis davon Gebrauch machen. Mit einer deutlichen Steigerung der Bußgelder bei Datenschutzverstößen ist aber auf jeden Fall zu rechnen.