Der 25. Mai ist vorbei – und damit die Übergangsfrist zur Umsetzung der Datenschutzgrundverordnung (DSGVO) abgelaufen. Ab sofort muss jedes Unternehmen, das personenbezogene Daten erfasst, verarbeitet oder speichert sich an diese Verordnung halten.

Die wichtigsten Neuerungen im Überblick:

  • Unternehmen dürfen Daten nur zu einem im Vorfeld festgelegten Zweck erheben und verarbeiten
  • jede Form von Datenerhebung und Verarbeitung muss nachvollziehbar zu dokumentieren sein; insbesondere mögliche Risiken einer Datenverarbeitung sind im Verfahrensverzeichnis zu dokumentieren
  • auch Unternehmen mit Sitz außerhalb der EU sind haftungsfähig, wenn sie in der EU operieren
  • Werbemaßnahmen benötigen eine vorherige Einwilligung des Betroffenen
  • die Informationspflicht gegenüber Betroffenen hat sich ausgeweitet
  • Betroffene das Recht auf Löschung ihrer Daten einfordern können
  • Die Bußgeldobergrenze ist von 300.000 Euro auf bis zu 20 Millionen Euro angestiegen

Den gesamten Gesetzestext könnt ihr hier nachlesen.

DSGVO – Was ich als erstes erledigen sollte

Wer sich jetzt noch nicht mit dem Datenschutz auseinander gesetzt hat, sollte umgehend seinen Außenauftritt Datenschutzkonform gestalten. Dafür benötigt ihr eine ordnungsmäße Datenschutzerklärung, die für alle Personen, deren Daten ihr verarbeitet, einsehbar sein muss. Habt ihr eine Internetseite, bindet sie dort ein. Apropos: Auch eine statische Website, die nur euer Unternehmen repräsentiert und etwa auf eine Kommentarfunktion oder ähnliches verzichtet, sammelt personenbezogene Daten – etwa die IP-Adresse sowie das Datum des Abrufs.

Habt ihr eure Außendarstellung überarbeitet, ist es Zeit, zu schauen, welche Daten verarbeitet werden. Diese Prozesse sind in einem Verarbeitungsverzeichnis zu beschreiben. Unter anderem ist zu notieren, wie die Daten erhoben, wie lange sie gespeichert werden, wie sie vor Zugriff geschützt werden und wer auf sie Zugriff hat. Die Behörden können jederzeit Einsicht verlangen.

Sind mehr als zehn Mitarbeiter im Unternehmen angestellt, ist ein Datenschutzbeauftragter zu benennen.

Kein Datenschutz – was kann mir passieren?

Seit dem 25. Mai sind Unternehmen jederzeit aufgrund ihrer Außendarstellung abmahnfähig. Und auch Betroffene können sich beschweren. Neu: Jede Beschwerde muss durch die Behörden geprüft werden. Können Unternehmen dann kein Verarbeitungszeichnis vorlegen, kann ein Bußgeld erhoben werden.