DSGVO ist die Abkürzung für die Datenschutzgrundverordnung, die für alle Länder der Europäischen Union erlassen wurde. Sie trat am 25. Mai 2018 im gesamten Beitrittsgebiet in Kraft. Einerseits soll damit der Datenschutz vereinheitlicht, andererseits die Rechte der Verbraucher gestärkt werden.
Für Unternehmen und öffentliche Einrichtungen, aber auch für die medizinische Betreuung und im Rahmen des Abschlusses von Verträgen ergeben sich durch die Einführung der DSGVO viele Änderungen. Mit den Informationen und einer Checkliste möchten wir Unternehmen dabei helfen, mögliche Versäumnisse (und ggf. hohe Bußgelder) zu vermeiden.
Wichtige Änderungen für Unternehmen
Die Datenschutzgrundverordnung umfasst insgesamt 99 Artikel. In jedem werden Vorschriften formuliert, die Unternehmen einhalten müssen. Bei einem Verstoß droht ein Bußgeld, das mit bis zu vier Prozent des Bruttojahresumsatzes festgelegt werden kann – max. 20 Millionen Euro sind möglich.
Auch Abmahnungen oder Klagen sind möglich. Die DSGVO richtet sich nicht nur an Unternehmen, sondern auch an Selbständige, Freiberufler und an Vereine, die mit den Daten von Bürgern der Europäischen Union arbeiten. Das Ziel liegt darin, die Daten „nach bestem Wissen und Gewissen“ vor dem Zugriff Dritter zu schützen.
Der Datenschutz soll insbesondere für folgende personenbezogene Daten gelten:
- Name
- Adresse
- E-Mail-Adresse
- Ausweisnummer
- IP-Adresse
- Geburtsdatum
Es spielt bei den Vorgaben keine Rolle, ob die Daten klassisch auf dem Papier oder digital verarbeitet werden. Auch Daten, die durch moderne VideoIdent-Systeme erfasst werden, sind in den Datenschutz einbezogen.
Einschränkung bei der Verarbeitung sensibler Daten
Es gibt sensible Daten, die sich im Falle des Bekanntwerdens für die betreffende Person als nachteilig erweisen können. Dazu gehören Informationen zur religiösen Überzeugung, zu chronischen Erkrankungen oder zur sexuellen Ausrichtung.
Für diese Daten schreibt die DSGVO einen besonderen Schutz vor. Sie dürfen nur in Ausnahmefällen verwendet werden. Ein solcher Ausnahmefall liegt beispielsweise vor, wenn die betreffende Person medizinisch betreut werden muss. Dann ist es wichtig, dass die behandelnden Ärzte Kenntnisse über eventuelle Vorerkrankungen erlangen.
Auch die sexuelle Ausrichtung darf u.U. abgefragt werden, ohne dass dies für den Patienten diskriminierend ist. So muss die Frage beispielsweise vor einer Blutspende beantwortet werden. Falsche Angaben können in diesem sensiblen Bereich zu rechtlichen Sanktionen führen.
Wichtig zu wissen:
Auch Unternehmen, die nicht in der EU ansässig sind, aber ihre Produkte in den Ländern vermarkten, unterliegen den Bestimmungen der DSGVO. Somit müssen sich Konzerne wie Google, Apple, Samsung oder Microsoft ebenfalls an die Richtlinien halten. Andernfalls drohen hohe Strafzahlungen.
Checkliste für die Einhaltung der Bestimmungen nach DSGVO
1. Einwilligung
Lassen Sie sich vom Kunden/Patienten/Mandanten eine Einwilligung zur Datenverarbeitung geben.
2. Internetpräsenz
Achten Sie darauf, Ihren Webauftritt (und ggf. Social Media-Profile) sicher zu gestalten. Wichtig ist insbesondere die SSL-Verschlüsselung, mit der User ihre Daten über eine sichere Leitung verschicken können. Bei allen Änderungen an der Webseite ist zu prüfen, ob die sicherheitsrelevanten Einstellungen nicht verändert wurden.
Hackerangriffe mit Datendiebstahl können Ihnen zur Last gelegt werden, wenn Ihnen nachgewiesen werden kann, dass Sie Ihre Seiten nicht ausreichend geschützt haben.
3. Speicherung digitaler Daten
Speichern Sie digitale Daten sicher ab. Legen Sie Wert auf einen hochwertigen Webserver und eine optimale Programmierung. Nutzen Sie ggf. professionelle Cloud-Services oder legen Sie Festplatten an einem sicheren Ort ab.
4. Aufbewahrung von Dokumenten
Papiere sollten sie so aufbewahren, dass sie vor einem Diebstahl sicher sind.
5. Verzeichnis von Verarbeitungstätigkeiten
Gem. Artikel 30 der DSGVO müssen Unternehmen eine schriftliche Dokumentation über den Umgang mit personenbezogenen Daten anlegen. „Wer empfängt die Daten? Und was geschieht damit?“ sind dabei die zentralen Fragen.
Wenn Sie z.B. einen externen Dienstleister mit der Erstellung und Pflege Ihrer Website beauftragt haben, benötigen Sie von ihm eine Stellungnahme bzw. einen entsprechenden Vertrag.
6. Datenschutzbeauftragter
Ab einer gewissen Größe bzw. bei bestimmten Tätigkeiten müssen Unternehmen einen Datenschutzbeauftragten bestellen. Der Datenschutzbeaufragte kann eine externe oder betriebsinterne Person sein, die gewisse Qualifikationen mitbringen muss.
Ein Datenschutzbeauftragter klärt über die datenschutzrechtlichen Pflichten auf und überwacht die Umsetzung. Er ist Ansprechpartner für Behörden und Betroffene und verantwortlich für das Verzeichnis von Verarbeitungstätigkeiten. Das Unternehmen muss die Kontaktdaten des Beauftragten veröffentlichen.
Praxis-Tipp: Richtig reagieren nach einem digitalen Übergriff
Sind Sie Opfer eines digitalen Datendiebstahls geworden, müssen Sie den Übergriff unverzüglich bei der Polizei anzeigen. Ändern Sie alle relevanten Passwörter, aktualisieren Sie die Sicherheitseinstellungen und nehmen Sie die Website vom Netz, bis das Problem lokalisiert und beseitigt wurde.
Wichtig ist außerdem, dass Sie Ihre Kunden informieren. Datendiebstähle und Hackerangriffe werden häufig in der Presse und im Netz thematisiert. Insofern gelangen die Informationen ohnehin an die Kunden. Somit ist es für das Vertrauen der Kunden sehr wichtig, wenn sie von einem möglichen Datendiebstahl persönlich und nicht durch die Medien informiert werden.
Urheber des Bildes: novintito / 123RF Standard-Bild