der-Bergische-Unternehmer_0518
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Rechte und Pflichten deutlich<br />
ausgeweitet<br />
Für die deutsche Wirtschaft bringt die neue EU-<br />
Datenschutz-Grundverordnung, die zugleich das<br />
bisherige Bundesdatenschutzgesetz sowie die Datenschutzrichtlinie<br />
<strong>der</strong> Europäischen Union ablöst,<br />
vor allem wesentlich mehr Informationspflichten.<br />
Dazu gehört unter an<strong>der</strong>em, dass Personen, bei denen<br />
Daten erhoben o<strong>der</strong> über die bei Dritten Auskünfte<br />
eingeholt werden, umgehend darüber informiert<br />
werden müssen. Neu hinzugekommen ist<br />
ebenfalls das Recht auf Löschung sowie auf Berichtigung.<br />
Auch das Recht, gegen automatisierte<br />
Einzelfallentscheidungen Wi<strong>der</strong>spruch einzulegen,<br />
wurde in die EU-Verordnung aufgenommen. Relevante<br />
Entscheidungen, die nicht von einem Menschen,<br />
son<strong>der</strong>n etwa von Computerprogrammen<br />
getroffen werden, brauchen Betroffene künftig<br />
nicht ohne Weiteres zu akzeptieren – ein typisches<br />
Beispiel wäre die Ablehnung eines Online-Kreditantrages<br />
o<strong>der</strong> auch das Profiling, bei dem Daten<br />
zur Analyse von Persönlichkeitsmerkmalen verwendet<br />
werden.<br />
Beachtung verdient auch die Pflicht zur Datenschutz-Folgenabschätzung,<br />
die immer dann greift,<br />
wenn durch die geplante Datenverarbeitung voraussichtlich<br />
die Rechte und Freiheiten <strong>der</strong> jeweiligen<br />
Person eingeschränkt werden. Diese Gefahr<br />
steigt beispielsweise beim Einsatz innovativer<br />
Technologien, die automatisch und komplett Daten<br />
erfassen, verarbeiten und bewerten. Im Extremfall<br />
ist es sogar erfor<strong>der</strong>lich, vorab die zuständige Aufsichtsbehörde<br />
zu konsultieren. Das gleiche gilt bei<br />
Datenpannen, die den Schutz personenbezogener<br />
Daten gefährden. Ebenso müssen Unternehmen bis<br />
auf wenige Ausnahmen auch die Betroffenen von<br />
dem Vorfall in Kenntnis setzen.<br />
Dienstleister beson<strong>der</strong>s gefor<strong>der</strong>t<br />
Die Freude über das jüngste Dekret aus Brüssel<br />
hält sich wohl auch bei den sogenannten Auftragsverarbeitern<br />
in überschaubaren Grenzen, denn<br />
diese müssen nun erstmals ein Verzeichnis <strong>der</strong><br />
Verarbeitungstätigkeiten führen. Dabei handelt es<br />
sich um eine Dokumentation sämtlicher Verfahren,<br />
bei denen personenbezogene Daten verwendet<br />
werden.<br />
Mit dem neu eingeführten Begriff „Auftragsverarbeiter“<br />
erweitert <strong>der</strong> Gesetzgeber die Definition<br />
des datenschutzrechtlichen Dienstleisters um einige<br />
Zuständigkeiten. So erstreckt sich die aktuelle<br />
Datenschutz-Grundverordnung nicht nur auf natürliche<br />
und juristische Personen, son<strong>der</strong>n auch<br />
auf Behörden, Einrichtungen und an<strong>der</strong>e Stellen,<br />
Die neue europaweite<br />
Datenschutzverordnung<br />
betrifft<br />
auch Unternehmen,<br />
die ihren Sitz zwar<br />
außerhalb <strong>der</strong> EU<br />
haben, ihre Leistungen<br />
aber EU-<br />
Bürgern anbieten.<br />
die personenbezogene Daten im Auftrag des Verantwortlichen<br />
verarbeiten.<br />
Ein spezieller Fachmann für den<br />
Datenschutz<br />
Deutschland toppt mit dem anlässlich <strong>der</strong> neuen<br />
Verordnung erlassenen Umsetzungsgesetzes die<br />
Vorgaben aus Brüssel noch zusätzlich. So werden<br />
beispielsweise die Gründe für die Benennung eines<br />
Datenschutzbeauftragten erweitert. Das Argument<br />
für diese Maßnahme besticht durch schlichte Logik:<br />
Schließlich müssen Unternehmen künftig<br />
auch erweiterten Ansprüchen von Betroffenen gerecht<br />
werden und benötigen daher einen entsprechenden<br />
Experten. Etwa dann, wenn mindestens<br />
zehn Personen im Unternehmen ständig mit <strong>der</strong><br />
Datenverarbeitung beschäftigt sind, wenn personenbezogene<br />
Daten für Markt- und Meinungsforschung<br />
verwendet werden o<strong>der</strong> wenn es sich um<br />
beson<strong>der</strong>s sensible Daten handelt.<br />
Ergänzungen auf <strong>der</strong> Verbots-Liste<br />
Grundsätzlich dürfen nach wie vor bestimmte<br />
Informationen nicht genutzt werden. Darunter<br />
fallen Daten, die Auskunft geben über<br />
• Rassische und ethnische Herkunft<br />
• Politische Meinungen<br />
• Religiöse und weltanschauliche<br />
Überzeugungen<br />
• Gewerkschaftszugehörigkeit<br />
• Genetische Veranlagungen und Gesundheit<br />
• Sexuelle Orientierung<br />
Zusätzlich werden in <strong>der</strong> Verbots-Kategorie<br />
auch biometrische Daten wie Fingerprints o<strong>der</strong><br />
Stimmerkennungen berücksichtigt.<br />
Firmensitz im Ausland ist kein<br />
Blanko-Scheck<br />
Außerdem gut zu wissen: Die neue europaweite<br />
Datenschutzverordnung betrifft auch Unternehmen,<br />
die ihren Sitz zwar außerhalb <strong>der</strong> Europäischen<br />
Union haben, ihre Leistungen und Produkte<br />
aber EU-Bürgern anbieten. Will heißen: Selbst<br />
US-Branchenriesen wie Facebook o<strong>der</strong> Google<br />
kommen bei Verstößen nicht ungeschoren davon.<br />
Und das kann teuer werden. Denn die verhängten<br />
Bußgel<strong>der</strong> betragen bis zu vier Prozent des globalen<br />
Jahresumsatzes eines Unternehmens.<br />
Text: Brigitte Waldens<br />
Foto: shutterstock<br />
<strong>der</strong> <strong>Bergische</strong> <strong>Unternehmer</strong> 05|18 33