8. Januar 2018
Obwohl Datenschutz und Datensicherheit heute gängige Themen sind, die in der Öffentlichkeit breit diskutiert werden, herrscht sowohl in Behörden als auch in Unternehmen große Unsicherheit, wie genau damit umzugehen ist – und dies aus zwei Gründen: Zum einen ist die Rechtslage unübersichtlich und teilweise auch noch unklar. Zum anderen ist es der technologische Fortschritt, der zum Erarbeiten ständig neuer Lösungen zwingt. Die Möglichkeiten zum Umgang mit personenbezogenen Daten und damit auch zu deren Missbrauch ändern sich viel schneller, als der Gesetzgeber darauf reagieren kann. Die EU-Datenschutzgrundverordnung soll deshalb langfristig Sicherheit gewähren, indem verbindliche und zeitgemäße Regeln und Prozesse zum Datenschutz allgemeingültig formuliert werden.
Allerdings sorgt auch die neue Verordnung für Unsicherheiten. Es gilt zu klären:
WAS ändert sich und WANN treten die Änderungen in Kraft? Für WEN gelten sie?
WIE sollte man sich vorbereiten? WELCHE Risiken sind besonders zu beachten?
Datensparsamkeit
Nach der EU-DSGVO dürfen nur Daten natürlicher Personen erhoben und gespeichert werden, die für den Zweck der Datenerhebung notwendig sind. Den Kunden nach der gewünschten Anrede zu fragen, ist deshalb unproblematisch. Man benötigt diese Angabe in jedem Schriftverkehr. Fragen z. B. nach Einkommen, Führerschein oder Familienstand wären allerdings in vielen Fällen problematisch, z. B. wenn die Datenverarbeitung lediglich dem Versand eines Newsletters dient. Viele Unternehmen müssen also ihre Formulare überprüfen und sie gegebenenfalls den neuen Anforderungen anpassen, um DSGVO-compliant zu bleiben.
Recht auf Vergessen werden
Die DSGVO sieht ein “Recht auf Löschung” (Art. 17) der eigenen Daten vor: Auf Verlangen müssen personenbezogene Daten vollständig von den Datenträgern eines datenverarbeitenden Unternehmens gelöscht werden. Auch hier ist auf die Vollständigkeit zu achten: Sollten sich trotz gegenteiligen Willens noch personenbezogene Daten des oder der Betreffenden auf der IT-Infrastruktur befinden, droht der Gesetzgeber auch hier Strafzahlungen ein.
Auskunftspflicht
Wer die Daten einer (natürlichen) Person speichert, ist dazu verpflichtet, dieser Person auf Anfrage Auskunft darüber zu erteilen, welche Daten über sie vorliegen (Art. 15). Die Antwort muss dabei vollständig ausfallen – fehlen einzelne Angaben, können Strafzahlungen fällig werden. Auch wenn Daten an Partner oder Dienstleister (“Auftragsdatenverarbeiter”) weitergegeben werden, müssen Sie darüber genau Buch führen, um gegebenenfalls auskunftsfähig zu sein.
Meldepflicht bei Datenverlusten
Sollte es doch einmal zu einem “worst case” kommen und ihre Kundendaten durch einen Hack oder auf anderem Wege verlorengehen, so sind Unternehmen verpflichtet, dies innerhalb von 72 Stunden bei der Datenschutzbehörde zu melden (Art. 33) und die betroffenen Kunden umgehend zu informieren, falls “voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen”
besteht (Art. 34).
Informationen zentral zu verwalten, um einen besseren Überblick zu behalten als alle Konkurrenten – so lässt sich die Grundfunktionalität eines ECM/EIM-Systems beschreiben. enaio® von OPTIMAL SYSTEMS ist hier besonders gut auf die DSGVO-relevanten Prozesse vorbereitet: Listen mit datenschutzrelevanten Vorgängen und Workflows lassen sich mit wenigen Klicks zusammenstellen – so ist die Erfüllung aller Dokumentations- und Auskunftspflichten in einem einzigen Arbeitsschritt getan und Datenschutz-Audits werden für Prüfer und Geprüften zur Formsache. Der von der IHK Berlin öffentlich bestellte und vereidigte Sachverständige Dipl.-Inf. Norbert Vogel bestätigt als unabhängiger, externer Datenschutzbeauftragter von OPTIMAL SYSTEMS, dass durch die Hinterlegung der gesetzlichen Regelungen im ECM-System enaio® die Verarbeitung dieser Daten konform zur EU-DSGVO erfolgt.
Das könnte Sie auch interessieren