DSGVO: Neue EU-Verordnung regelt den Umgang mit Kundendaten

Autoren: DSwiss / S&N

Am 28. Mai 2018 tritt die neue Datenschutz-Grundverordnung DSGVO (Englisch: GDPR) in Kraft. Das neue Regelwerk bestimmt einerseits, in welcher Form Unternehmen personenbezogene Daten schützen müssen, andererseits wie der freie Datenverkehr geregelt werden soll.

Die DSGVO löst die bisherige Datenschutzrichtlinie (95/46/EG) von 1995 ab. Der Schutz personenbezogener Daten war bereits in der bestehenden Richtlinie verankert, allerdings waren die Anforderungen an die Unternehmen deutlich weniger streng. Im Vergleich zu anderen Staaten hat der Datenschutz in Deutschland und in der Schweiz bereits einen besonders hohen Stellenwert. Doch auch für Unternehmen, die das Bundedatenschutzgesetz (BDSG) umfassend umgesetzt haben, besteht dringender Handlungsbedarf, da auch geringfügige Änderungen in den Datenschutzbestimmungen häufig Anpassungen in den organisatorischen Prozessen, der Produkte, der Dokumentationspflicht und der IT bedeuten. Auch sind existierende Verträge im B2B- oder B2C-Umfeld hinsichtlich der DSGVO zu überprüfen und gegebenenfalls anzupassen.

Die folgenden Punkte sind durch die Verschärfung der Gesetzgebung von besonderer Bedeutung:

1. Transparenz im Umgang mit Kundendaten

Jeder EU-Bürger darf nachfragen, wie das entsprechende Unternehmen mit den persönlichen Daten umgeht. Folgende Fragen muss jedes Unternehmen für alle Kunden beantworten können:

  • Welche persönlichen Daten werden gespeichert?
  • Zu welchem Zweck werden die Daten gespeichert?
  • Werden persönliche Daten an Dritte weitergegeben? Wenn ja: Welche?

2. Meldepflicht bei Datenverlust, Datendiebstahl oder unbefugten Zugriffen

Im Fall einer Datenpanne müssen die Unternehmen innerhalb von 72 Stunden eine Meldung an die zuständige Datenschutzbehörde vornehmen. Bei schwerwiegenden Vorfällen ist es erforderlich, dass auch die betroffenen Personen informiert werden.

3. Privacy by Design

Durch Privacy by Design wird beabsichtigt, eine Minimierung der erhobenen Daten sicherzustellen. Dazu gehört auch die die Nutzung von fortgeschrittenen Verschlüsselungsmethoden.

4. Privacy by Default

Neben den technischen Aspekten sollten die Standardeinstellungen der genutzten Anwendungen möglichst privat und datenschutzfreundlich eingestellt sein. Dadurch wird sichergestellt, dass persönliche Daten nicht mit der Öffentlichkeit geteilt werden.

5. Einfache Mitnahme von persönlichen Daten

Kunden, die ihren Anbieter wechseln möchten, müssen Daten einfach migrieren können. Der Export und die Übertragung von Daten muss also barrierefrei sein, z.B. indem alle Dokumente in einem Datenpaket exportiert werden können.

6. Datenschutzbeauftragten bestimmen

Unternehmen, die sensible Daten verwalten, müssen einen Datenschutzbeauftragten beschäftigen. In Deutschland ist diese Vorgabe bereits heute in Kraft, in anderen Ländern wie der Schweiz ist diese Anforderung neu. Der Datenschutzbeauftragte kann eine interne oder eine externe Kraft sein. Weil die Datenschutzthematik komplex ist, ist die Besetzung dieser Rolle für die meisten Unternehmen empfehlenswert.

7. Datensicherung in Drittstaaten bleibt problematisch

Die Datensicherung von Kundendaten ausserhalb der EU und der Schweiz bleibt heikel, weil die Datenschutzbestimmungen in Drittstaaten oft weniger streng sind. Wenn Unternehmen die Daten weiterhin in Drittstaaten sichern möchten, ist es nötig, die Beurteilung der EU-Kommission zu beachten. Die Datenweitergabe in die Schweiz ist aufgrund der Entscheidung der EU-Kommission unproblematisch.

8. Nicht nur Firmen im EU-Raum sind betroffen

Die neue Datenschutzrichtlinie richtet sich an alle Firmen, die Daten von EU-Bürgern verwalten. Damit sind auch zahlreiche Unternehmen betroffen, die ihren Firmensitz ausserhalb des EU-Raums haben.

9. Verstösse können mit hohen Bussgeldern bestraft werden

Weil die neue Gesetzgebung sehr komplex ist, ist es wichtig, dass sich alle betroffenen Unternehmen damit auseinandersetzen. Schliesslich können die Bussgelder existentielle Ausmasse annehmen - im schlimmsten Fall bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro.