DSGVO: Was sich 2018 im Umgang mit personenbezogenen Daten ändert
Wenn am 25. Mai 2018 die neue Datenschutzgrundverordnung in Kraft tritt, dann muss auch so maanches Unternehmen im Datenmanagement umdenken. Doch was genau regelt die DSGVO? Welche Neuerungen ergeben sich für Unternehmen daraus? Und wie setzen Unternehmen diese am besten um?
Personenbezogene Daten – Eine Definition
Unter personenbezogenen Daten werden all jene Daten verstanden, die ausreichen, um eine Person zu identifizieren. Personenbezogene Daten beginnen daher nicht erst mit dem Speichern von Vor- und Zuname, Adresse und Geburtsdatum, sondern auch schon, wenn zum Beispiel per Cookie das individuelle Surfverhalten oder die IP-Adresse deutliche Rückschlüsse auf eine Person zulassen. Denn allein die Kombination aus einzelnen, vermeintlich anonymen Daten, kann schon dazu führen, dass Personen eindeutig identifiziert werden können. Die Problematik liegt folglich in der Erhebung, Speicherung, Übermittlung und Vermengung von Daten. Genau hier möchte die DSGVO verbindliche Standards formulieren.
Wichtigste Regelungen der DSGVO
Der neue Datenschutz soll Vertrags- und Auftragsabwicklungen nicht behindern. Das heißt, personenbezogene Daten, wie Adressen, dürfen zum Beispiel bei Kaufabschluss an einen Spediteur weitergegeben werden. Überdies dürfen Daten gespeichert werden, wenn dazu schon andere Gesetze auffordern, wie zum Beispiel die 10-jährige Aufbewahrungspflicht für Rechnungen. Grundsätzlich gilt: Unternehmen müssen ihre Kunden stets über die Erhebung, Nutzung, Speicherung und Verarbeitung ihrer Daten aufklären und sollten sich daher grundsätzlich deren Einverständnis geben lassen. Insbesondere beim Online-Marketing kommt dies zum Tragen.
Online-Marketing im Rahmen der DSGVO
Das Online-Marketing muss sich auch weiterhin damit arrangieren, dass der Umgang mit digitalen Daten im Grunde immer das ausdrückliche Einverständnis des einzelnen Nutzers bedarf. Denn schon allein der Einsatz von Google-Analyse- und Werbetools bedarf nach der DSGVO der Erlaubnis des Nutzers, da hier ein gezieltes Profiling für Werbezwecke stattfindet. Auch im E-Mail-Marketing dürfen deutliche Hinweise für den Adressaten bezüglich Tracking und personalisierter Werbung nicht fehlen. Denn je umfassender ein Unternehmen seine Kunden über die Verarbeitung seiner Daten aufklärt, desto eher erfüllt es letztlich auch die Bestimmungen der neuen DSGVO.
Spezielle Bestimmungen in der DSGVO
Besonderen Schutz genießen in der DSGVO Kinder und Minderjährige, die laut der DSGVO erst ab 16 Jahren ihre persönliche Einwilligung zur Datenverarbeitung geben dürfen. Auch die Verarbeitung von Daten zu Kategorien, wie Ethnie, Sexualität, Gesundheit, politischen und religiösen Einstellungen, Biometrie und Genetik, bedarf einer ausdrücklichen Genehmigung der betroffenen Person. Überdies bleibt es laut DSGVO auch weiterhin verboten, automatisierte Entscheidungen aufgrund von personenbezogenen Daten zu treffen. Das heißt, es dürfen bedeutende Fragen, wie beispielsweise Bewerbungen oder Kreditanfragen, nicht allein aufgrund von Algorithmen beurteilt werden.
Aufwand für die Umsetzung der DSGVO
Sicherlich benötigen Unternehmen für die Etablierung transparenter Einwilligungs- und Datenverarbeitungsprozesse sowie einer lückenlosen Dokumentation des gesamten Datenmanagements einige Zeit. Sind schon entsprechende Strukturen vorhanden, dann sollten diese unbedingt mit den exakten Datenschutzgrundverordnungsbestimmungen abgeglichen werden. KMU können sich überdies nicht auf der Befreiung von der Rechenschaftspflicht für Unternehmen mit weniger als 250 Mitarbeitern ausruhen. Denn die DSGVO kommt auch schon dann zum Tragen, wenn personenbezogene Daten „nicht nur gelegentlich“ verarbeitet werden – ganz unabhängig von der Größe des Unternehmens.
Fazit
Die Datenschutzgrundverordnung wird für viele Unternehmen große organisatorische und strukturelle Herausforderungen bereithalten, da personenbezogene Daten potenziell schon beim Einsatz von Cookies und Tracking erhoben werden. Angesichts saftiger Geldbußen von 10 Millionen EUR beziehungsweise bis zu 2 % des weltweit generierten Vorjahresumsatzes eines Unternehmens, lohnt es sich jedoch, bis zum 25. Mai 2018 umfassend vorzubauen.
Hier geht`s zu den Bestimmungen des DSGVO: https://dsgvo-gesetz.de/
Gastautor: Daniela Fehrenbacher