Allgemeine Datenschutzverordnung
Wir sind natürlich keine Juristen, aber das hat einen großen Einfluss auf unseren Beruf. Wenn Sie eine rechtssichere Antwort wünschen, empfehlen wir Ihnen, die Frage an einen Anwalt zu richten. Wenn Sie Fragen zu den Auswirkungen auf das Marketing haben, wenden Sie sich bitte an uns.
Ab dem 25. Mai 2018 wird die Allgemeine Datenschutzverordnung (AVG) gelten. Dabei handelt es sich um ein neues Gesetz zum Schutz der personenbezogenen Daten aller Menschen in der Europäischen Union. Die AVG befasst sich mit der Verarbeitung, Erhebung, Speicherung und Nutzung von personenbezogenen Daten.
Was bedeutet die AVG für mich?
Für Sie als Unternehmen bedeutet das AVG, dass Sie transparenter und sorgfältiger mit personenbezogenen Daten umgehen müssen und dass Sie mehr Pflichten haben. Schließlich sind Sie selbst dafür verantwortlich, dass Sie nachweisen können, dass Sie dieses Gesetz einhalten. Dazu gehört eine entsprechende Vorbereitung, die wir in einer Checkliste zusammengestellt haben.
Doch zunächst einige Begriffe. Denn was genau ist mit personenbezogenen Daten und deren Verarbeitung gemeint?
- Personenbezogene Daten sind alle Daten über eine Person, die in irgendeiner Weise auf diese Person zurückgeführt werden können.
- Besondere personenbezogene Daten sind Daten über eine Person, die sich unter anderem auf deren Gesundheit, Ethnie, politische Meinung oder religiöse Überzeugung beziehen.
- Verarbeitung personenbezogener Daten: Die Verarbeitung personenbezogener Daten umfasst das Sammeln, Erfassen, Organisieren, Strukturieren, Speichern, Aktualisieren oder Ändern, Abrufen, Abfragen, Verwenden, Übermitteln, Verbreiten, Sperren, Löschen oder Vernichten personenbezogener Daten.
Was hat es mit dem AVG auf sich?
Worum geht es also bei AVG? Es gibt ein paar Schlüsselbegriffe, die das deutlich machen:
Einwilligung
Sie müssen für jede Verarbeitung personenbezogener Daten eine Einwilligung einholen und dürfen daher z. B. keine automatischen Ankreuzfelder mehr verwenden. Eine betroffene Person muss ausdrücklich zustimmen, wenn sie einen Newsletter erhalten oder personenbezogene Daten an Dritte weitergeben möchte. Ein vorgefertigtes Kästchen wie im folgenden Beispiel ist daher nicht mehr zulässig.
Transparenz
Mit dem Inkrafttreten des AVG hat die betroffene Person das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.
- Einsichtnahme: Personen sollten die Möglichkeit haben, zu erfragen, welche Daten Sie über diese Person haben.
- Berichtigung: Personen haben das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen. Dazu gehören Berichtigung, Ergänzung, Löschung oder Sperrung.
- Vergessenwerden: Personen haben das Recht auf Vergessenwerden; in diesem Fall muss eine Organisation die personenbezogenen Daten einer Person löschen.
- Datenübertragbarkeit: Personen haben das Recht auf Übertragbarkeit ihrer personenbezogenen Daten. Das bedeutet, dass sie das Recht haben, die personenbezogenen Daten zu erhalten, die eine Organisation über sie gespeichert hat.
Schwerpunkt
Es ist wichtig, dass Sie nur Daten sammeln, die für Ihr Unternehmen wirklich relevant sind, die Sie wirklich brauchen, um ein bestimmtes Ziel zu erreichen.
Wenn zum Beispiel ein Bekleidungsgeschäft nach Ihrem Geburtsdatum fragt, obwohl Sie nur ein Paket zugestellt haben möchten, ist das nicht sinnvoll. Mit der Einführung des AVG darf das Geburtsdatum in diesem Fall also nicht mehr zwingend erforderlich sein.
Sicherheit
Sie müssen die in Ihrem Besitz befindlichen Daten mit geeigneten Sicherheitsmethoden schützen. Dies gilt auch für Unterauftragsverarbeiter (Unterlieferanten). Wenn es zu einer Datenschutzverletzung kommt, müssen Sie diese so schnell wie möglich melden. Weitere Informationen hierzu finden Sie in der nachstehenden Checkliste.
AVG Checklist
Im Folgenden finden Sie eine Checkliste mit Schritten, die Sie zur Vorbereitung auf die AVG durchführen können:
- Sensibilisierung
Stellen Sie zunächst sicher, dass die Mitarbeiter Ihrer Organisation über die neuen Datenschutzvorschriften informiert sind. Denn wenn Sie die Vorschriften nicht einhalten, kann die betroffene Person eine Beschwerde bei der Datenschutzbehörde einreichen, die dann verpflichtet ist, diese Beschwerde zu bearbeiten. Die Datenschutzbehörde kann dann Sanktionen verhängen. - Nullmessung: Welche personenbezogenen Daten verarbeiten Sie?
Personenbezogene Daten sind Daten wie Name, Adresse, Telefonnummer usw., aber auch Daten wie eine Kunden-ID. Völlig anonyme Daten, die nicht auf eine Person zurückgeführt werden können, fallen nicht unter das AVG. Daher ist es wichtig, dass Sie darlegen, welche Daten Sie verarbeiten, wie Sie sie verarbeiten, warum Sie sie verarbeiten (zu welchem Zweck), wie lange Sie sie aufbewahren und mit wem Sie sie teilen. - Datenschutz-Folgenabschätzung (DPIA) Nach dem AVG können Sie verpflichtet sein, eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen. Mit diesem Instrument lassen sich die Datenschutzrisiken der Datenverarbeitung im Voraus erkennen. Anschließend können Maßnahmen ergriffen werden, um diese Risiken zu mindern. Sie sollten eine Datenschutzfolgenabschätzung durchführen, wenn Ihre Datenverarbeitung wahrscheinlich ein hohes Datenschutzrisiko darstellt. Prüfen Sie, ob Sie zur Durchführung einer Datenschutzfolgenabschätzung verpflichtet sind.
- Fragen Sie nur nach notwendigen Daten Diesen Teil müssen Sie mit dem Standarddatenschutz abgleichen. Datenschutz durch Voreinstellungen bedeutet, dass Sie technische und organisatorische Maßnahmen ergreifen müssen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind. Beispiel: Sie dürfen Name und Adresse erheben, wenn es um die Zustellung eines Pakets geht. Sie dürfen nicht nach einer Telefonnummer fragen, wenn es darum geht, einen digitalen Newsletter zu abonnieren.