8. Datenschutzfolgenabschätzung
Darum geht’s: Was passiert, wenn Daten verloren gehen oder unberechtigt in dritte Hände gelangen? Diese Frage müssen Unternehmen sich stellen, wenn sie mit durch die DSGVO besonders geschützten Daten arbeiten. In der Datenschutzfolgenabschätzung muss stehen, welche Folgen der Datenverlust für die Betroffenen Personen haben kann und welche anderen Risiken durch die Verarbeitung für die betroffenen Personen bestehen und wie ihnen begegnet wird.
Das sagt die DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ (Artikel 35)
Das sagt der Experte:
Eine Datenschutzfolgenabschätzung ist dann notwendig, wenn sehr sensible Daten verwendet werden. „Das können Gesundheitsdaten sein, aber auch eine Bilder aus einer systematischen Videoüberwachung“, sagt Grabowski. Auch Meinungsforschung gehöre dazu. Die Folgenabschätzung muss eine Beschreibung der geplanten Verarbeitungsprozesse, den Zweck der Verarbeitung und eine Bewertung der Notwendigkeit der Datenverarbeitung enthalten. Hinzu kommt, das Risiko, das durch ein Datenleck entstehen kann, einzuschätzen und entsprechende Schutzmaßnahmen vorzunehmen. Für die Folgenabschätzung empfehle er, einen Experten hinzuzuziehen. „Die schlampig zu machen, kann schwerwiegende Folgen haben“, sagt der Unternehmensberater.
9. Auftragsverarbeiter
Darum geht’s: Leiten Unternehmen Daten an andere Unternehmen weiter, müssen sie einen Auftragsverarbeitungsvertrag schließen, der festhält, dass beide Unternehmen - egal aus welchen Länden - sich an die DSGVO halten.
Das sagt die DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ (Artikel 28)
Das sagt der Experte: Ein Auftragsverarbeitungsvertrag muss mit Unternehmen geschlossen werden, an die Daten weitergeleitet werden oder jene Zugriff auf diese haben. „Für den Vertrag finden Sie im Internet viele Muster“, sagt Grabowski. Einen Beispielvertrag finden Sie hier. Der Auftragsverarbeitungsvertrag regelt, wie die Kooperationspartner Daten verwenden und dass sie die Daten DSGVO-konform behandeln. Auch mit Diensten wie Google Analytics oder ihrem Webhosting-Anbieter müssen Unternehmen solche Verträge haben. Wie Sie so einen Vertrag mit Google Analytics abschließen, steht hier erklärt.
Verlassen die Daten dabei die EU, wird es noch ein wenig komplizierter. Handelt es sich zum Beispiel um ein Unternehmen in den USA (beispielsweise Google), kann unter www.privacyshield.gov geprüft werden, ob es entsprechend zertifiziert ist und eine Übermittlung zulässig ist.
Kurz & knapp: Die Grundsätze der DSGVO
"Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.
Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.
Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.
Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.
Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.
Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen - sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.
Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.
Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.
Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme.