Was die neue EU-Verordnung im Detail bedeutet
Ab dem 25. Mai gelten mit der Datenschutzgrundverordnung (DSGVO) neue Regeln, etwa für Firmen, Selbstständige und Vereine.
Was ändert sich für Bürger? Noch umfassender als bisher müssen Bürger darüber informiert werden, welche Daten in welcher Form über sie gespeichert sind – und wie diese verwendet werden. Neu eingeführt wird mit der DSGVO beispielsweise auch ein Recht auf Vergessen werden, das Bürger in bestimmten Fällen einfordern können, und dass strenge Datenschutzeinstellungen in Zukunft der Standard sein müssen. Das Recht auf Datenübertragbarkeit sichert Verbrauchern insbesondere bei digitalen Diensten wie Apps die Möglich- keit, ihre Daten von einem Anbieter zum nächsten mitzunehmen. Was ändert sich für Unternehmen? Wichtig sind die verschärften Dokumentations- und Rechenschaftspflichten: Hat etwa ein Nutzer oder Kunde seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen? In diesem Fall muss das ein Betrieb nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen mit der DSGVO in einem Verzeichnis von Verarbeitungstätigkeiten fest- halten. Nötig ist dieses zum Beispiel, wenn ein Betrieb Personalakten elektronisch verwaltet oder eine Kundendatei führt. Über die Anforderungen, etwa an die technische Umsetzung, herrscht noch an vielen Stellen Unklarheit. Künftig ist es zudem noch wichtiger, Daten nur zweckgebunden zu verwenden: Hat ein Kunde etwa seine E-Mail-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür verwendet werden und nicht für andere Zwecke. Was sind personenbezogene Daten? Die juristische Definition ist kompliziert. Praktisch zählen dazu Name, Geburtsdatum oder E-Mail-Adresse. Aber auch Angaben wie Steuernummer, IP-Adresse, Autokennzeichen oder Kontoverbindung gelten als personenbezogene Daten. Wer kontrolliert die Umsetzung der DSGVO? Im Regelfall ist dafür die NRW-Landesdatenschutzbeauftragte zuständig – „in enger Zusammenarbeit mit den anderen Behörden“, erklärt ein Sprecher. Tätig werde die Behörde, wenn sie einen Hinweis erhalte, beispielsweise durch die Beschwerde eines Betroffenen. „Wir werden aber wie bisher auch Stichproben durchführen.“ Was droht bei einem Verstoß? Alle Datenschutzbehörden in den EU-Staaten können bei einem Verstoß gegen die neue DSGVO hohe Geldbußen verhängen. Vorgesehen sind Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens – je nachdem, was höher ist. Gerade am Anfang wollen die Landesdatenschützer jedoch vor allem beratend tätig sein. „Wenn sich Unternehmen aber beratungsresistent zeigen, werden wir auch Bußgelder verhängen“, bekräftigt ein Sprecher. Übrigens: Passiert in einem Unternehmen eine Datenpanne und gibt es dadurch ein Risi- ko für Betroffene, muss der Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Ab wann braucht man einen Datenschutzbeauftragten? Für die meisten Unternehmen gilt: Haben mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten zu tun, muss ein Datenschutzbeauftragter an die Landesbehörde gemeldet werden. Viele kleine Betriebe und Vereine sind hier nicht in der Pflicht. Weitere Antworten lesen Sie auf: www.rp-online.de/dsgvo