Datenschutz: Zweckbindung

Die Digitaluhr tickt: Unternehmen dürfen in Zukunft weniger Daten von Verbrauchern erheben, benötigen dafür häufiger deren Erlaubnis und müssen nachweisen, dass sie mit den Daten der Kunden verantwortungsvoll umgehen. Dies regelt die neue EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Die Verordnung löst unterschiedliche Regelungen der 28 Mitgliedstaaten ab. In Deutschland ersetzt sie weite Teile des Bundesdatenschutzgesetzes. Betroffen sind branchenübergreifend alle Unternehmen - unabhängig von der Größe. Innerhalb der nächsten Monate muss deshalb jedes Unternehmen den Umgang mit persönlichen Daten in seiner Gesamtheit überprüfen und anpassen. Die Herausforderung: Betriebe müssen personenbezogene Daten identifizieren, lokalisieren (innerhalb der EU speichern) und schützen, grundsätzlich die Datenmenge minimieren und fortlaufend beobachten Was das bedeutet, führte Jörg Schlißke, Datenschutz-Experte bei der TÜV Nord-Tochter TÜViT, auf der CeBIT in Hannover aus: "Gelebte Verfahren und Prozesse - sei es mit oder ohne personenbezogene Daten - müssen angepasst, überarbeitet oder auch ganz neu ins Leben gerufen werden. Ein enger Austausch zwischen allen Beteiligten, wie Datenschutzbeauftragten, externen Beratern, IT-Leitungen und Geschäftsführungen wird zur elementaren Voraussetzung." Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) wurde am 12. Mai vom Bundesrat verabschiedet, damit sind die EU-Vorgaben in leicht abgeänderter Form auch hierzulande maßgeblich: "Somit ist das Projekt Datenschutz, das Anfang 2012 seinen Anfang nahm, nach nunmehr fünf Jahren endlich im Zielhafen angekommen", erklärte Jörg Schlißke. Da das Datenschutzniveau im aktuell gültigen Bundesdatenschutzgesetz (BDSG) hoch war, halten sich die Neuerungen durch die Novelle in Grenzen. In anderen Ländern mit vergleichsweise lax geregeltem Umgang mit Kundendaten sind die Änderungen gravierender. Hohe Bußgelder Ein großer Unterschied liegt aber im künftigen Sanktionsapparat bei Zuwiderhandlungen: Es drohen Millionen-Bußgelder, wenn Unternehmen die europäische Datenschutz-Grundverordnung (DSGVO) nicht umgesetzt haben. Künftig werden die Bußgelder bei Datenschutzverstößen am Umsatz der Unternehmen bemessen. Sie können bis zu vier Prozent des Jahresumsatzes betragen. Das Bewusstsein wächst, die Mehrheit der Betriebe setzt sich jedoch (noch) nicht mit dem Thema auseinander. Dies belegte eine Umfrage des IT-Verbands Bitkom unter den eigenen Mitgliedsunternehmen: Jedes fünfte IT- und Digitalunternehmen ignoriert bislang die DSGVO. Man kann sich ausrechnen, wie viele Nicht-IT-Firmen das Thema noch aussparen, wenn sogar die Spezialisten nachlässig sind. Im Automobilhandel und Kfz-Service dürfte die Zahl der Ignorierer oder Verweigerer wesentlich höher sein. Der Position des Datenschutzbeauftragten kommt weiterhin große Bedeutung zu. Dazu Jörg Schlißke vom TÜV Nord: "Es bleibt bei der BDSG-Regelung zur Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) in Unternehmen mit mehr als neun Angestellten, die über das hinausgeht, was die Verordnung als Mindeststandard vorsieht. Wesentliche Aspekte/ Änderungen des neuen Gesetzes laut TÜVit (Auswahl): - Es drohen Geldbußen bei Verstößen gegen die DSGVO - bis zu 20 Mio. Euro oder zwei bis vier Prozent des weltweiten Vorjahresumsatzes des Unternehmens. - Die DSGVO macht es weiterhin zur Pflicht, einen Datenschutzbeauftragten zu bestellen. - Unternehmen müssen Datenschutzvorfälle binnen 72 Stunden den Aufsichtsbehörden melden. - Es muss eine Risikobewertung erfolgen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben. - Es müssen grundlegende technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten getroffen werden. - Es gelten erweiterte Informationspflichten bei der Erhebung von personenbezogenen Daten. - Datenerhebung nur für festgelegte, eindeutige und rechtmäßige Zwecke und Verbot der Weiterverarbeitung in einer nicht zu vereinbarenden Weise. - Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß. - Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist. - Geeignete technisch-organisatorische Maßnahmen (TOM) zum Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung. Datenschutzmanagement Ein weiteres zentrales Element der Neuregelung: Datenablage und -zugriff müssen genau dokumentiert werden. Angaben darüber, wer was wann wo mit den Kundeninformationen anstellt, sollte lückenlos sein. Die DSGVO verlangt zudem, dass alle Daten verschwinden, wenn ein Kunde oder ein Angestellter ein Unternehmen verlässt. Die erforderlichen Tätigkeiten sind alles andere als trivial: Betriebe müssen künftig ein System zum Datenschutzmanagement aufbauen. Zuerst sind Rollen und die Organisation sowie Verantwortlichkeiten zu klären. Die Unternehmen müssen Verzeichnisse von Verarbeitungstätigkeiten führen und ein Kunden-Einwilligungsmanagement betreiben. Zudem sind Prozesse zur Wahrung der Betroffenenrechte sowie zur Meldung von Datenschutzverstößen zu errichten.

Chery: So erfolgt der Deutschland-Start 2025

Forum Automotive: Branchenwandel als Chance nutzen

Hyundai Ioniq 9: Dieses große E-SUV kommt nach Europa

Fahrzeugschaden in der Waschanlage: BGH-Urteil "richtungsweisend"

ZDK-Krise: Einheit macht stark, Zwietracht schwächt

Alle Schlagzeilen

Datenschutz: Zweckbindung

HASHTAG

#Datenschutz

Autonomes Fahren: Verbraucherschützer pochen auf Datenschutz

Ölquelle Auto: Alle wollen an Autodaten verdienen

Vernetzte Fahrzeuge: Neue Herausforderungen für den Datenschutz

MEISTGELESEN

Sternauto: Größter BYD-Store in Deutschland eröffnet

Dacia: "Wir erobern von anderen Marken"

Mercedes zeigt neuen Benzinmotor: Es wird noch verbrannt

STELLENANGEBOTE

Finanz- oder Bilanzbuchhalter (m/w/d)

Leiter IT (w/m/d)

Servicetechniker (m/w/d)

Werkstattmeister Karosserie (m/w/d)

Juniorverkäufer (m/w/d)

WEITERLESEN

NEWSLETTER