Individuelle Rechte - und Ihre Pflichten - wenn die neue Allgemeine Datenschutzverordnung in Kraft tritt

Neue Datenschutzverordnung konzentriert sich auf die Rechte des Einzelnen

Personen, deren personenbezogene Daten erfasst und verarbeitet werden, haben nach der neuen Datenschutzgrundverordnung (DSGVO) im Vergleich zum alten Datenschutzgesetz (PUL) erweiterte, gestärkte und spezifizierte Rechte. Mit der Behandlung von personenbezogenen Daten bedeutet jede Verwendung dieser Daten. Die Rechte des Einzelnen sind wie folgt:

1. Auskunftsrecht - Die Person, deren personenbezogene Daten gespeichert sind, hat das Recht, auf Antrag einen Auszug aus den Daten zu erhalten und darüber informiert zu werden, wann ihre personenbezogenen Daten verarbeitet werden.
2. Recht auf Berichtigung - Das Recht, unrichtige Daten zu berichtigen und/oder zu ergänzen.
3. Recht auf Löschung ("Recht auf Vergessenwerden") - die Daten werden auf Antrag der betroffenen Person gelöscht.
4. Recht auf Einschränkung der Verarbeitung - Die Möglichkeit, (in bestimmten Fällen) zu verlangen, dass die Verarbeitung personenbezogener Daten eingeschränkt wird, d. h. dass sie nur für bestimmte begrenzte Zwecke verarbeitet werden.
5. Datenübertragbarkeit - Die Möglichkeit (in einigen Fällen), personenbezogene Daten zu übertragen, z. B. von einem sozialen Mediendienst zu einem anderen.
6. Widerspruchsrecht - Recht auf Widerspruch (in bestimmten Fällen) gegen die Verarbeitung der eigenen personenbezogenen Daten.
7. Automatisierte Entscheidungsfindung - Das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer Form der automatisierten Entscheidungsfindung beruht, wenn die Entscheidung wahrscheinlich rechtliche Auswirkungen (oder eine gleichwertige Wirkung) hat.
8. Beschwerden - Jeder, dessen personenbezogene Daten verarbeitet werden, kann eine Beschwerde bei der Datenschutzbehörde einreichen, die dann prüft, ob eine Überwachung eingeleitet werden sollte.
9. Schadenersatz - Eine Person, die infolge der Verarbeitung ihrer personenbezogenen Daten unter Verstoß gegen die Datenschutzrichtlinie einen Schaden erlitten hat, kann Anspruch auf Schadenersatz haben.

Die Einhaltung der neuen Datenschutzgrundverordnung erfordert eine klare Zuordnung personenbezogener Daten

Eine Voraussetzung dafür, dass Sie und Ihr Unternehmen all diesen Verpflichtungen nachkommen können, ist in erster Linie, dass Sie Einblick in den aktuellen Stand der Verarbeitung von personenbezogenen Daten haben. Wenn Sie zum Beispiel nicht wissen, wo und welche personenbezogenen Daten verarbeitet werden, können Sie diese nicht auf Anfrage löschen oder ändern.

Eine Datenzuordnung sollte umfassen, welche Daten vorhanden sind, in welche Systeme sie eingegeben werden und mit welchen Dritten die Daten geteilt werden. Darüber hinaus müssen auch alle Prozesse, die mit den Daten zu tun haben, abgebildet werden - von der Erfassung der Daten bis zu dem Punkt, an dem der Kunde nicht mehr Ihr Kunde ist.

Wie durchsuchbar sind Ihre persönlichen Daten?

Das Hauptproblem (und oft das erste), auf das viele Menschen in dieser Phase stoßen, ist die Schwierigkeit, die gespeicherten personenbezogenen Daten zu finden und zu identifizieren. Dies kann daran liegen, dass die Dokumente und Dateien mit personenbezogenen Daten so gespeichert sind, dass sie nicht durchsuchbar sind - auf USB-Sticks, lokal auf dem Desktop des Computers einer Person, auf externen Festplatten usw. Oder die Systeme, in denen die Daten gespeichert sind, bieten keine ausreichenden Suchfunktionen. Die Systeme sollten so strukturiert sein, dass sie den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen - die so genannte Datenschutz durch Technik.

Neue Datenschutzverordnung - kein Jahr-2000-Fehler

Sind die personenbezogenen Daten erst einmal erfasst, liegen die Probleme oft in der Gestaltung der Verfahren und Prozesse für den Fall, dass eine betroffene Person der Verwendung ihrer personenbezogenen Daten widerspricht, vergessen werden möchte oder Auszüge erhalten möchte usw. Das Problem besteht also darin, wie es in der Praxis umgesetzt werden kann.

Dass es ein Dickicht ist, zu bestimmen, wie die Prozesse umgesetzt werden sollen, ist nur der erste Name. Hier sieht es von Unternehmen zu Unternehmen sehr unterschiedlich aus, wie weit sie in der Vorbereitung auf die GDPR gekommen sind. Das wiederum hängt oft davon ab, ob die Konsequenzen der Einführung der Datenschutzverordnung ernst genommen werden oder nicht. Einige glauben immer noch, dass es sich um eine Art "Millennium-Bug" handelt - eine Weltuntergangsprophezeiung, die niemals eintreten wird. Die Wahrheit ist jedoch, dass die Datenschutz-Grundverordnung größere Veränderungen mit sich bringen wird, als die meisten Menschen glauben. Die EU hat von den Mitgliedstaaten Gesetzesänderungen verlangt, was bedeutet, dass etwa 100 schwedische Gesetze zugunsten der Datenschutzrichtlinie umgeschrieben werden müssen.

Hilfe von außen in Anspruch nehmen

Die Erfassung und Umsetzung ist nicht einfach, und nur wenige Unternehmen verfügen über Experten mit fundierten Kenntnissen der neuen Datenschutzgrundverordnung, die sicherstellen können, dass kein Teil der Arbeit übersehen wird. Daher sind Schulungen natürlich ein guter Anfang, um sich einen Überblick darüber zu verschaffen, was zur Einhaltung der DSGVO erforderlich ist.

Der nächste Schritt könnte darin bestehen, die aktuelle Situation im Detail mit einer externen Partei zu besprechen, um herauszufinden, was zu tun ist - zum Beispiel ein Workshop. Das Ergebnis eines solchen Workshops sollte ein Bericht oder eine Checkliste sein, aus der klar hervorgeht, welche Teile derzeit in Übereinstimmung mit der DSGVO funktionieren und was noch zu tun ist, um die Verordnung vollständig zu erfüllen. Er sollte auch die Reihenfolge angeben, in der die Arbeiten zur Umsetzung der verbleibenden Teile durchgeführt werden sollten, und vorschlagen, welche Lösungen verfügbar sind.

Viele Anbieter, die vorgeben, Hilfe bei der DSGVO zu leisten, bieten keine konkreten Lösungen an. Stattdessen geht es oft darum, Sie und Ihre Kollegen dazu zu bringen, den Umfang der Arbeit zu verstehen. Wenn Sie also externe Hilfe in Anspruch nehmen, stellen Sie sicher, dass die Lösungen praktisch und nicht nur beratend sind. Erkundigen Sie sich zum Beispiel, ob Ihr Lieferant technische Lösungen anbieten kann, die sich in die von Ihnen bereits verwendete IT-Plattform integrieren lassen. Vergewissern Sie sich, dass die Lösungen klar verpackt und skalierbar sind - zahlen Sie nicht für mehr, als Sie tatsächlich benötigen. Vergewissern Sie sich auch, dass Ihr Anbieter klar darlegen kann, was das erwartete Ergebnis einer Zusammenarbeit sein wird.