Die EU-Datenschutzgrundverordnung

Was hat sich geändert? Was ist zu tun?

Auftragsdatenverarbeitung / Gemeinsame Verantwortung

Die Auftragsverarbeitung wurde bereits in der Vergangenheit stark ausgeweitet. So zählen Hoster und IT-Dienstleister ebenso dazu, wie klassische Datenverarbeiter (Lohnabrechnung).

Die EU-DSGVO nimmt nun auch Auftragsverarbeiter mehr in die Pflicht. Verarbeiten der Verantwortliche und der Verarbeiter zum gleichen Zweck personenbezogene Daten, so haften diese auch gleichermaßen für Datenschutzverstöße. Sie legen in einem Vertrag über die gemeinsame Verantwortung genau fest, wer von ihnen welche Verpflichtung nach der DSGVO übernimmt. Es ist ratsam alle externen Dienstleister zu identifizieren und die Verträge anzupassen.

Stellenausschreibungen online / offline

Für die Nutzung eines Online-Bewerbungsportals gelten folgende Mindeststandards:

• Löschen der Daten bei Absage nach einer Aufbewahrungsfrist von 6 Monaten Beendigung des Bewerbungsverfahrens.
• Sollen Bewerberunterlagen für spätere Zwecke (z.B. freie Stellen, Praktika, usw.) über den Zeitraum von 6 Monaten hinaus gespeichert werden, dann müssen die Betroffenen erneut eine schriftliche Einwilligung zur Speicherung ihrer Daten
• Fordern Sie keine sensiblen Daten (z. Zeugnisse, Bescheinigung über den Grad der Behinderungen, usw.) von den Bewerbern per Mail an.
• Prüfen Sie, wo die Bewerbungen gespeichert werden, wenn Sie ein ext. Tool auf Ihre Homepage einbinden.

Online Marketing

Datenschutzkonformes Online Marketing unterlag und unterliegt auch jetzt nach der EU-DSGVO Anforderungen, die dem Nutzer eine größtmögliche Transparenz im Umgang mit seinen Daten geben soll. Hierzu gehören:

• Impressum
• Datenschutzerklärung
• Nennung einer verantwortlichen Person für Rückfragen
• Umsetzung der Cookie-Richtlinie (Achtung: e-Privacy kommt)
• Bei Einsatz von Tracking-Tools, Anonymisierung der IP-Adressen
• Einwilligung bei Nutzung von Fotoaufnahmen
• Datenschutzkonforme Datenerhebung im Rahmen von Kontaktformularen

Newsletter Marketing

Der Newsletter-Versand kann ausschließlich unter Beachtung folgendem Mindeststandard datenschutzkonform durchgeführt werden:

• Double OPT IN Verfahren für die Anmeldung am Newsletter-Versand muss dokumentiert umgesetzt werden.
• Die Daten, die im Rahmen des NL-Versands verarbeitet werden, dürfen ausschließlich für diesen Zweck verwendet werden.
• Der Hinweis und die einfache technische Möglichkeit zur Abbestellung des Newsletters muss gegeben sein
• Der Verantwortliche (Impressum) des News-Letters ist zu Benennen.
• Vertrag zur Auftragsverarbeitung muss mit dem Anbieter der Software bzw. Dem Marketing Dienstleister geschlossen werden.

Folgeabschätzung

Bei der neu gestalteten Vorabkontrolle wird jede neue Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt, einer Datenschutzfolgeabschätzung unterzogen. Diese legt die Risiken auf und hilft bei der Minimierung dieser. Ein hohes Risiko besteht wenn:

• Umfangreich sensitive Daten verarbeitet werden
• Videoüberwachung durchgeführt wird
• Umfassend persönliche Daten automatisiert zur Entscheidungsfindung verarbeitet werden (Profiling)

Erweiterung des risikobasierten Ansatzes der Datensicherheit

Bei der Bewertung von Datensicherheitsrisiken werden Themen, wie:

• Vernichtung / Löschung / Recht auf Vergessenwerden
• Verlust von Daten
• Veränderung, ob unbeabsichtigt oder unrechtmäßig
• unbefugte Offenbarung

stärker berücksichtigt. Da nach der DSGVO auch immaterielle Schäden Betroffener zu erheblichen Verpflichtungen beim Verantwortlichen führen können.

Datenschutzbeauftragter

Eine Pflicht zur Ernennung besteht, oder wenn sensitive Daten umfangreich verarbeitet werden oder wenn Informationen über Straftaten einer natürlichen Person umfangreich verarbeitet werden. Darüber hinaus bleibt die Grenze von 10 Personen, die dauerhaft personenbezogene Daten in Unternehmen verarbeiten, bestehen.

Die Kontaktdaten des Datenschutzbeauftragten müssen „veröffentlicht“ und der Datenschutzaufsicht mitgeteilt werden.

Bußgelder

Gestiegen sind Bußgelder auf bis zu 4 % des weltweiten Konzernumsatzes. Hinzu können zivilrechtliche Ansprüche und Schadenersatz von Kunden / betroffenen Personen kommen.

Sie haben weitere Fragen zum Whitepaper oder einer weiterführenden Beratung? Kontaktieren Sie uns.

Rebecca Wiemer

ist zertifizierte Datenschutzberaterin und -auditorin.

Kontakt