Schwäbische Zeitung (Bad Saulgau)
Die Datenschutzgrundverordnung in der Wirtschaft
Für Unternehmen ändert sich mit der neuen Datenschutzgrundverordnung der Umgang mit „personenbezogenen Daten“im Geschäftsverkehr grundlegend. Hier die wichtigsten Regelungen:
Anonymisierung: Daten müssen, so weit es geht, anonymisiert werden. Unter personenbezogene Daten fallen auch jene Informationen, die von Unternehmen bereits anonymisiert, verschlüsselt oder pseudonymisert wurden, solange sie zur erneuten Identifizierung einer Person genutzt werden können. Die Verordnung verlangt, dass die Anonymisierung der Daten unumkehrbar ist, was zweifelsfrei nachgewiesen werden soll.
Transparente Dokumentation: Betriebe müssen die Methoden, wie sie Daten speichern und verarbeiten, ausgiebig dokumentieren.
Eingeschränkte Verarbeitung der Daten: Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies zur Erfüllung eines Vertrags oder aufgrund gefestgehalten setzlicher Verpflichtungen notwendig ist oder wenn ein sogenanntes berechtigtes Interesse besteht. Das berechtigte Interesse ist im Zweifel sehr streng auszulegen. Bei einem Konflikt zwischen den Interessen des Datenverarbeiters und den schutzwürdigen Interessen des Betroffenen, überwiegt letzteres.
Komplizierte Einwilligung: Unternehmen müssen nachweisen können, dass betroffene Personen in die Verarbeitung ihrer Daten eingewilligt haben. Dazu empfiehlt sich, eine Datenbank anzulegen, in der Datum, Zeit und Inhalt der Einwilligung gespeichert sind.
Umfassendes Recht auf Datenlöschung: Alle verwendeten und verarbeiteten Kundendaten muss ein Betrieb auf Wunsch löschen, wenn keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen.
Komplizierte Weitergabe von Daten an Dritte: Die Verarbeitung von Daten durch Dritte muss vertraglich geregelt sein, worin auch werden muss, dass der Anbieter die Richtlinien der Datenschutzgrundverordnung einhält.
Permanente Auskunftspflicht: Unternehmen müssen permanente Auskunft darüber geben können, ob und welche Daten sie von einer Person verwenden.
Benutzerfreundliche Technikgestaltung: Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen schützen. Bedeutet: Sobald ein Unternehmen Daten speichert, muss es diese verschlüsseln, pseudonymisieren oder gar anonymisieren. Zudem müssen bei Programmen die Voreinstellungen so gewählt werden, dass nur personenbezogene Daten verarbeitet werden, die unbedingt benötigt werden.
Ernennung eines Datenschutzbeauftragten: Haben mehr als neun Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung zu tun, muss das Unternehmen einen Datenschutzbeauftragten ernennen. (ben/kra)