Wie wirkt sich die DSGVO auf Unternehmen aus?

Datenschutz

Wir haben kürzlich die Datenschutz-Grundverordnung (DSGVO) erläutert und darauf hingewiesen, ab wann sie gilt und welche Auswirkungen sich bei einer Verletzung ergeben. In diesem Blog richten wir den Fokus auf die zentralen Bestimmungen der DSGVO und wie sich diese auf Unternehmen auswirken.

Zur Erinnerung: Die DSGVO ist ein neues Gesetz, das den Umgang der Unternehmen mit personenbezogenen Daten regelt. Eingeführt wurde die Verordnung, um das derzeitige Datenschutzgesetz mit dem technologischen Fortschritt und den sozialen Medien in Einklang zu bringen. Die DSGVO führt ab Mai 2018 strengere Datenschutzregeln ein und soll das Datenschutzgesetz von 1998 ersetzen. Natürliche Personen erhalten eine größere Kontrolle über ihre personenbezogenen Daten und bei Datenverletzungen werden Unternehmen mit höheren Strafen belegt.

Für welche Art von Unternehmen gilt die DSGVO?

Die DSGVO gilt für alle Datenverantwortlichen und Datenverarbeiter und somit für die große Mehrheit der Unternehmen in der EU.
Datenverantwortliche legen den Zweck und die Art und Weise fest, wie Daten erhoben und verarbeitet werden. Auftragsdatenverarbeiter sind Unternehmen, die personenbezogene Daten im Auftrag der Datenverantwortlichen verarbeiten.

Welche Auswirkungen hat die DSGVO auf Unternehmen?

Strengere Datenschutzpflichten

Ein wichtiger Aspekt der DSGVO ist das neu eingeführte Prinzip der Rechenschaftspflicht. Diesem Prinzip zufolge unterliegen die Unternehmen künftig einer erweiterten Rechenschaftspflicht bezüglich ihrer Handhabung der personenbezogenen Daten. Zudem müssen sie sicherstellen, den Nachweis erbringen zu können, dass sie den Anforderungen der DSGVO entsprechen.
Um diesem Prinzip nachzukommen, wird von Unternehmen erwartet, dass sie ihre Datenschutzmaßnahmen überprüfen und erhöhen. Dabei sind verschiedene Facetten zu beachten.
Unternehmen müssen beispielsweise ein sorgfältiges Datenmapping vornehmen. Dazu muss der Informationsfluss innerhalb und außerhalb der Organisation überprüft werden, um etwaige Unzulänglichkeiten sowie erforderliche Sicherheitsvorkehrungen zum Schutz der Daten zu identifizieren. Unternehmen werden veranlasst, die Art ihres Datenschutzes zu überprüfen und gegebenenfalls die Verfahren z. B. durch den Einsatz von Datenverschlüsselung zu verbessern.
Des Weiteren müssen Unternehmen ihre Datenverarbeitung bzw. Aufbewahrungsverfahren überprüfen und bedenken, wie sie den DSGVO-Befolgungsnachweis erbringen.

Daten sind rechtmäßig zu verarbeiten

Gemäß DSGVO müssen Unternehmen für jede personenbezogene Datenerhebung die rechtliche Grundlage nachweisen. In dieser Hinsicht ist der Ansatz der DSGVO recht präskriptiv, denn es werden einige Gründe für die Verarbeitung von Daten dargelegt, die als rechtmäßig bezeichnet werden können.
Personenbezogene Daten werden beispielsweise dann rechtmäßig verarbeitet, wenn eine natürliche Person ihr Einverständnis mit der Verarbeitung ihrer Daten erklärt hat, oder wenn die Verarbeitung für die Vertragserfüllung oder für die Verfolgung eines berechtigten Interesses erforderlich ist.
Laut DSGVO unterliegt die Einwilligung strengen Anforderungen. Diese Einwilligung muss gültig sein, eine natürliche Person muss also aktiv ihr Einverständnis erklärt hat. Die Einwilligung muss außerdem überprüfbar sein. Unternehmen müssen daher Aufzeichnungen führen, die belegen, wie und wann eine natürliche Person ihr Einverständnis erklärt hat. Vereinbarungen, bei denen vorausgesetzt wird, dass natürliche Personen sich automatisch einverstanden erklären, sind nicht DSGVO-konform, es sei denn, diese Personen können ein entsprechendes Feld oder Häkchen setzen bzw. abwählen.

Höhere persönliche Rechte

Die DSGVO verleiht natürlichen Personen eine Fülle neuer Rechte, welche Unternehmen zur Kenntnis nehmen und beachten müssen.
So hat eine natürliche Person dank des neuen Rechtes auf „Vergessenwerden“ Anspruch darauf, die sie betreffenden Daten aus den System eines Unternehmens löschen zu lassen. Natürliche Personen haben zudem ein neues „Recht auf Datenübertragbarkeit“, also das Recht, ihre personenbezogenen Daten für die Verarbeitung durch eine Organisation zu kopieren und zu übertragen.
Einige Rechte könnten sich auf den Marketingbereich von Unternehmen auswirken. So gibt die DSGVO natürlichen Personen das Recht, die Verarbeitung ihrer Daten beispielsweise zu Direktmarketingzwecken abzulehnen.

Strengere Meldepflichten bei Datenschutzverletzungen

Des Weiteren müssen die Datenverantwortlichen in den Unternehmen bei einer Datenschutzverletzung fortan die zuständige Datenschutzbehörde binnen 72 Stunden informieren. Dies kann sich erheblich auf die Abläufe in den Betrieben auswirken. Darüber hinaus muss der Datenverantwortliche auch die natürlichen Personen informieren, deren personenbezogene Daten von der Datenschutzverletzung betroffen sind, sollte sich hieraus ein Risiko für sie ergeben.

Höhere Geldstrafen für Datenschutzverletzungen

Datenschutzverletzungen werden künftig mit höheren Geldstrafen geahndet: Unternehmen, welche die Datenschutzbestimmungen der DSGVO verletzen, können mit einer Vertragsstrafe bis zu 20 Millionen EUR oder vier Prozent des globalen Vorjahresumsatzes belegt werden.

SD Worx unterstützt Sie mit Blick auf die neue EU-Datenschutzgrundverordnung und ist bestrebt, Ihnen die Auswirkungen und Handlungsnotwendigkeiten im Bereich HR darzustellen. Weitere Informationen entnehmen Sie unserer DSGVO-Seite.

Verwandte Beiträge

refresh Weitere Beiträge