DPRG LogoDie wichtigste Voraussetzung ist eine genaue Analyse der eigenen Strukturen und Prozesse. Ohne juristische Beratung werden darüber hinaus die meisten größeren Unternehmen kaum die Umsetzung der Regeln bewältigen können. Kleineren und mittelständischen Unternehmen helfen Softwarelösungen, die ein Selbst-Monitoring ermöglichen. Auf der Homepage www.datenschutz-grundverordnung.eu/ findet man übersichtlich die Bestimmungen mit Erläuterungen der EU Datenschutz-Grundverordnung (DSGVO). Man kann sich Schritt für Schritt durch die Verordnung klicken. Darüber hinaus bieten verschiedene Unternehmen und Dienstleister entweder als Online-Angebote oder Offline-Pakete nützliche Infos und Anleitungen, die allerdings keine professionelle Beratung im Einzelfall ersetzen können. Die DPRG informiert ihre Mitglieder in ihrem Extranet tixxt in der mitgliederoffenen Gruppe „Fakten zur DSGVO“ über die Verordnung. In der Gruppe findet man laufend aktualisierte, wissenswerte Links und Informationsangebote zum Download. Außerdem können Mitglieder in dieser Gruppe Erfahrungen austauschen und Fragen stellen. 

Die DSGVO in Stichworten

Die DSGVO gilt grundsätzlich für alle Unternehmen und Organisationen, die von der EU aus agieren. Dies gilt unabhängig von dem Ort an dem die Datenverarbeitung erfolgt (zum Beispiel außerhalb der EU). Es spielt auch keine Rolle, ob die Personen, der Daten verarbeitet werden sollen, sich nur kurz und vorübergehend in der EU aufhalten. Im Zentrum dieser Verordnung steht der umfassende Schutz von personenbezogenen Daten.

  • Betroffenen müssen vor einer Einwilligung zur Datenspeicherung Informationen angeboten werden, die seine Einwilligung in „informierter Weise“ überhaupt erst ermöglichen.
  • Die Bestimmungen gelten sowohl für die automatisierte wie auch für nichtautomatisierte (d.h. manuelle) Verarbeitungen von personenbezogenen Daten.
  • Personenbezogene Daten sind Angaben, „sie sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen.
  • Einwilligungen können jederzeit widerrufen werden.
  • Unter „Verarbeitung“ definiert die DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten: Dies beginnt mit dem Sammeln und Erfassen, der Organisation der Daten und ihrer Speicherung (zum Beispiel Datenbank, Excel-Liste, Outlook), der Übermittlung und Verbreitung bis zur Vernichtung der Daten.
  • Bestandsdaten dürfen nach dem 25. Mai nur dann weiterhin gespeichert werden, wenn die ursprüngliche Erhebung dieser Daten nach Maßgabe der DSGVO zulässig war.
  • Betroffene Personen haben das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung. Sie können Widerspruch gegen die Weiterverarbeitung einlegen und verlangen, dass ihre Daten zum Beispiel bei einem Anbieterwechsel übertragen werden.
  • Datenpannen müssen binnen 72 Stunden gegenüber den Aufsichtsbehörden gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden.
  • Wer mit Dienstleistern zusammenarbeitet, die Daten zum Beispiel im Rahmen eines Auftrags oder Projekts verarbeiten, muss mit diesen Vereinbarungen zur Auftragsdatenverarbeitung abschließen. Im Gegensatz zur bisherigen Rechtslage haftet bei Verstößen auch der Auftragsverarbeiter gegenüber Betroffenen im Außenverhältnis.

Darüber hinaus sieht die DSGVO weitere Fälle einer zulässigen Datenverarbeitung vor. Personenbezogene Daten, die unter dem Bundesdatenschutzgesetz (BDSG) erhoben wurden, dürfen auch nach dem 25.05.2018 weiterverwendet werden, wenn sie zur Anbahnung oder Durchführung eines Vertrages erhoben wurden und dafür nach wie vor erforderlich sind. Im Einzelnen sind dies beispielsweise die folgenden Handlungen:

  • Vertragserfüllung oder vorvertragliche Maßnahmen sowie
  • Wahrung berechtigter Interessen des Verantwortlichen oder Dritter
  • die Erstellung und Übermittlung eines vom Betroffenen angefragten Vertragsangebots
  • die Lieferung von Waren oder die Erbringung von Dienstleistungen auf Grundlage eines entsprechenden Vertrages
  • die Durchführung von Dauerschuldverhältnissen wie etwa Miet- oder Mobilfunkverträgen
  • die Erfüllung von vertraglichen Nebenpflichten wie etwa Gewährleistungsrechten
  • die Datenverarbeitung zur Durchführung von Arbeitsverhältnissen und deren Vorbereitung (Bewerbungsverfahren) ist weiter zulässig

Lesen Sie auch den Beitrag "DSGVO: Wie sich PR Unternehmer auf den 25. Mai 2018 vorbereiten sollten" über eine Informationsveranstaltung der DPRG Landesgruppe Berlin-Brandenburg zum Thema.