Die europäische Datenschutzgrundverordnung (DSVGO) tritt europaweit am 25. Mai 2018 in Kraft und bringt grundlegende Änderungen des Datenschutzrechts. Laut BRV gibt es für Unternehmen großen Handlungsbedarf, denn ansonsten drohen teure Abmahnungen und hohe Bußgelder.
Nachfolgend werden einige nützliche Hinweise genannt. So muss zum Beispiel für die eigene Internetseite beachtet werden, dass eine Datenschutzerklärung vorhanden ist. Das gilt selbst dann, wenn der Nutzer an keiner Stelle die Möglichkeit hat, seine Daten anzugeben. Darüber hinaus benötigt man einen betrieblichen Datenschutzbeauftragten wie bisher, wenn mehr als zehn Personen im Unternehmen sich mit der Datenverarbeitung befassen. Neu ist, dass man auch einen Datenschutzbeauftragten bei einer geringeren Beschäftigtenzahl braucht, wenn das Verhalten von Personen ausgewertet wird – dafür reicht das Setzen von Cookies, mit denen die Website einen wiederkehrenden Besucher erkennt.
Ein Kernpunkt der DSGVO sind umfangreich geregelte Informationspflichten, die durch die Datenschutzerklärung erfüllt werden müssen. Hier sieht der BRV das größte Problem, weil die Erfüllung der Pflichten durch Lesen der Datenschutzerklärung schnell überprüft werden kann, so dass Abmahner es leicht haben, Fehler zu finden und abzumahnen.
Des Weiteren sind folgende Dinge beim Versenden von Newslettern zu beachten. Newsletter dürfen weiterhin nur versandt werden, wenn vorher die Einwilligung des Empfängers eingeholt wurde. Nach der DSGVO ist die Einwilligung nur wirksam, wenn auf das Recht des Einwilligenden, seine Einwilligung jederzeit zu widerrufen, im Einwilligungstext hingewiesen wurde. Einwilligungen, die bereits vorerteilt wurden ohne diesen Hinweis, müssen erneut eingeholt werden.
Darüber hinaus gibt es weitere Änderungen, die zu beachten sind. Das Unternehmen muss jederzeit dazu in der Lage sein zu dokumentieren, dass die Anforderungen des Datenschutzes eingehalten wurden. Zukünftig müssen alle Vorgänge, die mit dem Datenschutz zu tun haben, aufgezeichnet und dokumentiert werden. Außerdem muss das Unternehmen in einem Verzeichnis darstellen, welche Datenverarbeitungsvorgänge im Unternehmen stattfinden, zu welchem Zweck verarbeitet wird, ob Daten übermittelt werden und welche Löschungsfristen gelten. Für kritische Daten muss das Unternehmen eine Folgenabschätzung vornehmen und dokumentieren, bevor die Datenverarbeitung beginnt.
(akl)