EU-Datenschutzrecht
Am 25. Mai 2018 ist es soweit. Bis dahin bleibt nicht mehr viel Zeit, sich auf den neuen Hausherren einzustellen. Dabei ist die Datenschutz-Grundverordnung (DSGVO) vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission beschlossen. Ihr Ziel: Die Rechte des Verbrauchers im Hinblick auf den Datenschutz zu stärken und zu vereinheitlichen. Für alle Bürger der EU. Das konkrete Ziel ist der bessere Schutz personenbezogener Daten.
Sei es bei der Sammlung, Verarbeitung, Verbreitung oder Weitergabe. Ersetzen soll der neue Rechtsrahmen die derzeitigen EU-Datenschutzrichtlinie (95/46/EG).
Was wird sich konkret ändern?
- "Personenbezogene Daten" bekommen eine eindeutige Definition.
- Mehr Rechte für natürliche Personen.
- Die Zustimmung bei Datenfrage wird ausdrücklich erforderlich.
- Natürliche Personen haben das "Recht auf Vergessen".
- Über Daten, wo und seit wann diese gespeichert sind, muss informiert werden.
- Höhere Bußgelder bei Verstößen.
- Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert.
- Risikobasierte Rechenschaftspflicht.
- Mitteilungspflicht bei Verletzungen: Der Verantwortliche muss Behörden innerhalb von 72 Stunden bei einer Datenverletzung informieren. In besonders gravierenden Fällen sogar die betroffene Person.
- Konkrete Bestimmung wann ein Datenschutzbeauftragter zu ernennen ist.
- Datenschutz nach Entwurf.
- Übermittlung der Daten an betroffene Personen, Kontrolle ihrer Daten.
- Strengere technische und organisatorische Maßnahmen.
Jeder, der die Daten sieht
Eine der wichtigsten Fragen, wenn es um die DSGVO geht: Wen betrifft sie?
Die Antwort ist kurz: Alle. Denn die Verordnung gilt für Personen und Körperschaften jeglicher Größe. Vorausgesetzt, sie verarbeiten personenbezogene Daten von EU-Einwohnern. Und dies unabhängig davon, wo der Verarbeiter sich befindet. Die Auswirkungen sind branchenübergreifend, betreffen also auch Versicherungsmakler. Diese Regelungen gelten ebenso für Datenrechner, Datenverarbeiter und Cloud-Provider.
Strafe muss sein
Und die Strafen für Datenschutzverstöße werden ab dem 25. Mai härter: So kann die Höchststrafe laut Datenschutz.org für Unternehmen und Organisationen bei Nichteinhaltung nach Art 83 (5) DSGVO bis zu 20 Mio. Euro hoch sein. Oder vier Prozent des jährlichen weltweiten Umsatzes betragen. Je nachdem, was höher ist.
Derzeit droht ein saftiges Bußgeld bis 300.000 Euro oder eine zweijährige Freiheitsstrafe. Doch dies scheint wohl noch nicht alle abzuschrecken. So setzen sich nach Erkenntnissen der Studie des Zentrums für europäische Wirtschaftsforschung lediglich 50% der befragten Unternehmen mit den neuen DSGVO-Anforderungen auseinander. 52,5% haben zwar Kenntnis davon aber keine Motivation die Änderungen in Angriff zu nehmen. Befragt wurden dabei 700 Unternehmen ab fünf Beschäftigten in der Informationswirtschaft. Dies umfasst Informations- und Kommunikationstechnologien, sowie Medien und wissensintensive Dienstleister.
Achtung! Hier wird umgebaut!
Die DSGVO betrifft auch die Gestaltung von Online-Kontaktformularen. So muss, zusätzlich zu den bestehenden Pflichtangaben eines Formulars, die Zustimmungserklärung prominent und von den Allgemeinen Geschäftsbedingungen getrennt sein. Der Kunde muss aktiv darum gebeten werden, sich anzumelden (z. B. für einen Newsletter). Die Angabe über den Grund der Datenerhebung und dessen geplante Nutzung muss angegeben werden. Und zwar eindeutig und verständlich formuliert. Auch der Ort der Datenspeicherung ist zu nennen.
Auch uns ist der Schutz von persönlichen Daten unserer Kunden sehr wichtig. Daher haben wir schon frühzeitig damit begonnen, unsere Geschäftsabläufe, Prozesse und Systeme auf die neuen gesetzlichen Anforderungen hin zu überprüfen und, sofern erforderlich, anzupassen.
Kommentar schreiben