Welche neuen Verpflichtungen haben Unternehmen in Bezug auf die DSGVO in Europa?

Future of Work

Die personenbezogenen Daten der Verbraucher sind für Unternehmen von unschätzbarem Wert. Ihre Auswertung hilft ihnen, ihr Marketing gezielter auszurichten. Um die Rechte des Einzelnen und die Privatsphäre zu schützen, unterliegen diese Daten jedoch der Datenschutz-Grundverordnung. Dieses Gesetz, das in Europa eher unter der Abkürzung DSGVO (bzw. GDPR im angelsächsischen Raum) bekannt ist, zielt darauf ab, die Datenverarbeitung durch die Mitgliedsstaaten der Europäischen Union zu regeln und zu harmonisieren. Anlässlich des Europäischen Datenschutztages am 28. Januar erschien es uns wichtig, einen Überblick über die Verpflichtungen europäischer Unternehmen im Zusammenhang mit der DSGVO zu geben.

Was sind die Grundsätze der DSGVO?

Seit ihrer Verabschiedung im Jahr 2016 und ihrem Inkrafttreten am 25. Mai 2018 verfolgt die EU-DSGVO das Ziel, die Privatsphäre aller EU-Bürger durch den Schutz ihrer personenbezogenen Daten zu schützen. Dies geschieht mithilfe von sechs Hauptprinzipien.

1 – Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und auf nachvollziehbare Weise erhoben und verarbeitet werden. Dazu müssen die betroffenen Personen darüber informiert werden, wie ihre Daten verwendet werden.

2 – Zweckbindung

Die Erhebung personenbezogener Daten muss für festgelegte, eindeutige und legitime Zwecke erfolgen. Das Unternehmen muss die betroffene Person informieren, bevor es ihre Daten erhebt, und darf den durch die ursprüngliche Einwilligung festgelegten Rahmen nicht überschreiten.

Für den Fall, dass ein Unternehmen die Daten im Nachhinein für andere Zwecke verwenden möchte, muss es diesen neuen Zweck besonders herausstellen. Hier sind einige Fragen, die Sie sich stellen sollten:

  • Welche Verbindung besteht zwischen dem ursprünglichen und dem zukünftigen Zweck?
  • In welchem Zusammenhang werden die Daten erhoben?
  • Handelt es sich um sensible Daten (Gesundheit, wissenschaftliche Forschung usw.)?
  • Welche Auswirkungen kann diese neue Datenverarbeitung auf die betroffene Person haben?
  • Sind angemessene Garantien vorhanden?

Wenn der neue Zweck über die ursprüngliche Einwilligung hinausgeht, muss eine neue Einwilligung eingeholt werden.

3 – Datenminimierung

Die personenbezogenen Daten sollten so weit wie möglich nicht verarbeitet werden. Ist dies nicht der Fall, müssen sie begrenzt, relevant und für die Zwecke angemessen sein.

Beispielsweise besteht kein Grund, Personen nach ihrem Geburtsdatum zu fragen, wenn diese Daten nicht verwertet werden sollen. Die DSGVO verlangt somit, die Datenerhebung nur auf die relevanten Daten zu beschränken.

4 – Richtigkeit

Personenbezogene Daten müssen richtig sein und daher aktualisiert werden, wenn es notwendig ist, um den aktuellen Stand der betroffenen Personen widerzuspiegeln.

5 – Beschränkung der Aufbewahrung

Alle Daten sollten nur für einen begrenzten Zeitraum und so kurz wie möglich (z.B. Projektdauer) aufbewahrt werden. Wenn die Daten also für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden, müssen sie gelöscht oder anonymisiert werden.

In manchen Fällen müssen Daten aus Rechtsgründen mehrere Jahre lang aufbewahrt werden (Daten von Beschäftigten des Unternehmens usw.).

6 – Integrität und Vertraulichkeit

Es müssen geeignete Sicherheitsmaßnahmen ergriffen werden, um personenbezogene Daten zu schützen vor jeder Form von:

  • Fälschung
  • Verlust
  • Zerstörung
  • unbeabsichtigter Schädigung
  • unbefugtem Zugriff

Ist die DSGVO in Europa verpflichtend?

Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern erheben, nutzen oder verarbeiten, unabhängig von ihrer Größe, ihrer Tätigkeit oder ihrem Standort. Die EU-Verordnung gilt auch für Unterauftragnehmer.

Wichtig ist die Tatsache, dass ein Land außerhalb der Europäischen Union, das personenbezogene Daten von EU-Bürgern verarbeitet, verpflichtet ist, die DSGVO anzuwenden. In diesem Zusammenhang kommt der zuständigen Person für allgemeine Dienstleistungen eine wichtige Rolle zu, da sie oder er für die Anwendung der Gesetze sorgen muss.

Bei Nichtbeachtung der Rechtsvorschriften sieht die Europäische Kommission Sanktionen vor, z.B. Geldbußen von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes des Unternehmens.

Doch wer ist von der DSGVO betroffen? Hier ist die Liste der Länder, in denen die DSGVO in Europa Anwendung findet:

  • Frankreich
  • Deutschland
  • Italien
  • Spanien
  • Portugal
  • Niederlande
  • Belgien
  • Luxemburg
  • Dänemark
  • Irland
  • Finnland
  • Schweden
  • Österreich
  • Griechenland
  • Kroatien
  • Bulgarien
  • Rumänien
  • Zypern
  • Tschechische Republik
  • Estland
  • Lettland
  • Litauen
  • Ungarn
  • Malta
  • Slowenien
  • Slowakei
  • Polen

Wie sollte man über die Datenerhebung kommunizieren?

Im Zeitalter der Digitalisierung und der Künstlichen Intelligenz ist ein datengetriebener Ansatz, um eine bessere Entscheidungsfindung zu ermöglichen, fester Bestandteil der CSR-Politik im Unternehmen. Daher ist es wichtig, darauf hinzuweisen, dass ein Unternehmen verpflichtet ist, seinen Kunden unmissverständlich zu erklären, warum ihre Daten erhoben werden, wie sie verwendet werden und wie lange sie gespeichert werden.

Nachstehend sind die Informationen aufgeführt, die den Personen, deren personenbezogene Daten erhoben werden, mitgeteilt werden müssen:

  • wer Ihr Unternehmen ist;
  • zu welchen Zwecken die Daten erhoben werden;
  • welche Kategorien von personenbezogenen Daten betroffen sind;
  • der Rechtsgrund für diese Erhebung;
  • wie lange die Daten aufbewahrt werden;
  • mögliche weitere Empfänger in Europa;
  • ob die Daten in Länder außerhalb der EU übermittelt werden;
  • ihre Rechte in Bezug auf die Vervielfältigung und den Datenschutz;
  • ihr Recht auf Beschwerde;
  • ihr Recht, ihre Zustimmung jederzeit zu widerrufen.

DSGVO in Europa: Wie sieht die Entwicklung der Datenschutzgesetzgebung aus?

Die DSGVO ersetzt die Datenschutzrichtlinie von 1995 und zielt auf die Stärkung des Schutzes der Privatsphäre im Internet ab. Im Laufe der Jahre musste der Rechtsrahmen angepasst werden, um mit den gesellschaftlichen und technologischen Entwicklungen Schritt zu halten, insbesondere mit der zunehmenden Nutzung digitaler Medien und der Entwicklung des E-Commerce.

So wurden neue Regelungen verfasst, um den Schutz personenbezogener Daten zu verstärken.

Die Unternehmen müssen künftig die Aufsichtsbehörde benachrichtigen, wenn es zu einer Datenverletzung gekommen ist, die die Rechte und Freiheiten der betroffenen Personen beeinträchtigen könnte.

In Unternehmen, die systematisch und in großem Umfang Daten verarbeiten bzw. die sensible Daten verarbeiten, muss ein DSB (Datenschutzbeauftragter oder Data Protection Officer) ernannt werden.

Der Grundsatz des Datenschutzes muss bereits zum Zeitpunkt der Planung beachtet werden (Privacy by Design).

Die Unternehmen sind nicht mehr verpflichtet, die Datenverarbeitung bei der dedizierten nationalen Stelle anzumelden (außer bei spezifischen Verarbeitungen). Stattdessen sind sie verpflichtet, Verzeichnisse über die Verarbeitung personenbezogener Daten zu führen, um im Falle einer Kontrolle die Einhaltung der DSGVO nachweisen zu können.

Sobald ein Unterauftragnehmer Zugang zu den Verarbeitungsdateien hat, muss das Unternehmen einen Auftragsverarbeitungsvertrag aufsetzen, der die Verpflichtungen der DSGVO enthält. Diese Verantwortung gilt kaskadenartig für alle Unterauftragnehmer in der Kette.

Die Bürger haben das Recht, der Nutzung ihrer personenbezogenen Daten für Werbezwecke oder zur automatisierten Analyse mit dem Ziel der Klassifizierung oder Vorhersage (Profiling) zu widersprechen. Sie können auch verlangen, die über sie gesammelten Daten zu erhalten (Recht auf Datenübertragbarkeit).

DSGVO in Europa: Welche Auswirkungen für die Mitarbeiter?

Die Einführung der DSGVO hat Auswirkungen auf die Mitarbeiter von Unternehmen, insbesondere in Bezug auf die Verarbeitung ihrer personenbezogenen Daten. Laut DSGVO müssen Unternehmen, wie oben erläutert, ihre Mitarbeiter transparent über die Verarbeitung ihrer personenbezogenen Daten informieren (Gründe für die Erhebung, vorgesehene Aufbewahrungsfrist und Empfänger der Daten).

Die Mitarbeiter haben das Recht, auf ihre Daten zuzugreifen und im Falle von Ungenauigkeiten deren Berichtigung oder Löschung zu verlangen.

Schließlich sieht die DSGVO Maßnahmen zum Schutz der personenbezogenen Daten von Mitarbeitern vor, z.B. bei der Weitergabe ihrer Daten an Dritte, bei Datenverletzungen oder bei Entlassungen. Diese Maßnahmen sollen sicherstellen, dass die Daten der Mitarbeiter vertraulich behandelt werden und dass ihre Rechte und Freiheiten geschützt werden.

Whitepaper
"Well-working - Gesundheit und Wohlbefinden am Arbeitsplatz
Whitepaper herunterladen
Dossier icon

Thema
Future of Work

Erfahren Sie mehr über dieses Thema.

Folgen Sie Manutan auf

Autor

Manutan
Manutan Verfasst am 11 Mai 2023

Sie haben Fragen, Wünsche oder Anregungen? Wir sind gerne für Sie da!

Kontaktinformationen

TOP 5

Verwandte Beiträge

Folgen Sie Manutan auf