Finanzberatung: Die Anforderungen der neuen EU-Datenschutz-Richtlinie

Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft. Sie sieht bei Verstößen Bußgelder in Höhe von bis zu 20 Millionen Euro vor. Wir geben einen ersten kurzen Überblick der wichtigsten Regelungen, die künftig beachtet werden müssen.

19.02.2018 | 10:02 Uhr

Personenbezogene Daten sind ein wertvolles Gut, dessen Schutz sich die Europäische Union auf die Fahnen geschrieben hat. Mit der neuen Datenschutz-Grundverordnung (DSGVO) vereinheitlicht sie die Verarbeitung personenbezogener Daten durch private Unternehmen. Die DSGVO ersetzt weitgehend die bisher geltende deutsche Datenschutzrichtlinie. Für Unternehmen ergeben sich fundamentale Neuerungen. 

Zweckbindung

Daten dürfen nur zweckgebunden erhoben werden. Der Zweck muss im Vorfeld festgelegt werden. Die aus der Aktion gewonnenen Daten dürfen nicht für weitere Zwecke verwendet werden. Ausnahme: Die Weiterverarbeitung ist mit dem ursprünglichen Zweck vereinbar. 

Informationspflicht

Werden bei einem Website-Besuch personenbezogene Daten gespeichert, bspw. mittels Web-Analyse besteht schon heute die Verpflichtung den User darüber zu informieren. Die neue Verordnung strafft diese Vorschriften. Die Information hat unmittelbar vor der Datenerhebung in schriftlicher (auch elektronischer) Form zu erfolgen.
 In der Informationsschrift ist anzugeben: 

-welches berechtigte Interesse hinter der Datenerhebung steht,
-auf welcher Rechtsgrundlage die Datenerhebung erfolgt,
-welche Daten wann erhoben werden,
-wer für die Datenverarbeitung verantwortlich ist, inkl. Kontaktinformationen,
-an wen die Daten konkret weiter geleitet werden,
-welche Maßnahmen zum Datenschutz getroffen wurden,
-wie lange die Daten gespeichert werden,
-welche Rechte der User hat, der Datenerhebung ggf. zu widersprechen,
-welche Behörde im Streitfall zuständig ist.

Ausnahmen von der Informationspflicht sieht die DSGVO nur noch vor, wenn der Aufwand zur Information unverhältnismäßig groß ist oder andere EU-Rechtsvorschriften die Information einschränken.Das gilt allerdings nicht für alle Daten gleichermaßen. Nutzungsdaten wie den verwendeten Browser oder die Uhrzeit dürfen gespeichert werden. Werden diese Daten allerdings gesammelt und an Dritte weiter gegeben, besteht eine Informationspflicht.

Werbung

Bei Werbemaßnahmen müssen Unternehmen künftig im Vorfeld die Interessen ihrer Kunden an der Werbemaßnahme abschätzen und im Einzelfall prüfen, ob die sie im Interesse der Kunden ist. Die Prüfung muss für jede Werbemaßnahme dokumentiert werden

Sowohl für telefonische, als auch postalische und elektronische Werbung muss die Einwilligung der Beworbenen vorher eingeholt werden.

Die Kündigung solcher Werbung wird mit der neuen Richtlinie noch einmal vereinfacht. Betroffene dürfen jederzeit widersprechen, die erhobenen Daten müssen dann umgehend gelöscht werden.

Werden Datensätze von Dritten eingekauft, die für Werbung verwendet werden, muss sichergestellt sein, dass die Daten in Übereinstimmung mit vorherrschendem Recht stehen. 

Recht auf Löschung

Die neue Datenschutz-Verordnung stärkt die Hoheitsrechte der Nutzer. Sie müssen dabei unterstützt werden, wenn sie mit einer Nutzung ihrer Daten nicht einverstanden sind. Betroffene User müssen dabei unterstützt werden, wenn sie die umfassende Löschung ihrer Daten fordern. Das betrifft bspw. die Weitergabe der Löschungsaufforderung bei Dritten.

Recht auf Datenmitnahme

Nutzern muss künftig die Möglichkeit eingeräumt werden, alle Daten, die über ihn erfasst worden sind, einsehen und auf Wunsch mitnehmen zu können. Datenerfassende Unternehmen sind zur Herausgabe der Datensätze verpflichtet.

Bußgelder

Eine der Änderungen mit den stärksten Auswirkungen betrifft die Ahndung von Verstößen. Galt bislang, eine Höchstgrenze von 300.000 Euro bei Verletzung der Datenschutzrichtlinien, werden künftig deutlich höhere Beträge fällig. Je nach Art der Verstöße drohen Bußgelder in Höhe von bis zu 20 Millionen Euro. Bei Organisationen kann nach dem neuen Strafen-Katalog eine Koppelung an den Jahresumsatz in Höhe von 2-4 % erfolgen. Dabei können Muttergesellschaften für die Verstöße ihrer Tochtergesellschaften herangezogen werden. Zudem wird das Unternehmen verpflichtet, die Datenverarbeitung entsprechend der Richtlinie anzupassen.

(DW)

Diesen Beitrag teilen: