Spätestens seit dem 25. Mai ist das Thema in aller Munde. An diesem Tag trat die Datenschutz-Grundverordnung in Kraft, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.
Die Datenschutzgrundverordnung betrifft alle Unternehmen, die personenbezogene Daten verarbeiten. Dabei spielt die Größe der Unternehmen keine Rolle, alle Unternehmen, vom EPU bis zum Großbetrieb müssen sich an die Vorschriften der DSGVO halten. Um die Thematik und Aufgabenstellungen besser verstehen zu können, muss man sich über die wesentlichen Begrifflichkeiten der DSGVO im Klaren sein.
Die sechs wichtigsten Begriffe
BETROFFENE
Jene Personen, deren Daten verarbeitet werden. Man könnte auch sagen, es sind die konkreten Personen, auf welche die Daten hinweisen.
VERANTWORTLICHE
Die Rechtsperson, der Betroffene ihre Daten überlassen, also der gegenüber Betroffene ihr Einverständnis zur Verarbeitung ihrer Daten erklären.
AUFTRAGSVERARBEITER
Dienstleister, die Daten im Auftrag des Verantwortlichen im Rahmen der in der Einverständniserklärung definierten Zwecke und im Rahmen des Auftragsverarbeitervertrages weiterverarbeiten.
DATENVERARBEITUNG
Jede Interaktion mit Daten. Unter anderem das Sichten und Speichern, sowie jegliche Form der automatisierten oder manuellen Verarbeitung.
PERSONENBEZOGENE DATEN
Alle Daten, die direkt oder indirekt einen Rückschluss auf eine konkrete Person ermöglichen, wie beispielsweise E-Mail, Name, Foto.
SENSIBLE DATEN
Dies sind besonders schutzwürdige, personenbezogene Daten wie zum Beispiel biometrische oder genetische Daten. Aber auch Informationen zur ethnischen Herkunft, politischen Meinung, Gewerkschaftszugehörigkeit, religiösen oder philosophischen Überzeugung, Gesundheit oder Sexualität gelten als sensibel.
Die vier wichtigsten Aufgaben
Wie bei den meisten neuen Regelungen überwiegen zu Beginn die Fragestellungen, wenn man sich als Unternehmer jedoch an einige, wenige Aufgabenstellungen hält und sich mit dieser Thematik auseinandersetzt, sollten keine zu großen Probleme auftauchen.
BESTANDSANALYSE
An einer Dateninventur führt kein Weg vorbei. Sie und Ihr Unternehmen müssen wissen, welche Daten wo, für welche Zwecke, wie lange verarbeitet werden, wer Zugriff hat und ob beziehungsweise, an wen diese weitergegeben werden.
VERARBEITUNGSVERZEICHNIS
Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO und ersetzt die bisherigen DVR Meldungen. Es muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.
INFORMATIONSPFLICHTEN
Von einer Datenverarbeitung betroffene Personen müssen über diese informiert werden können (Was, wer, zu welchem Zweck, wie lange, wohin?). Auch Betroffenenrechte (z.B. Auskunft, Löschung) müssen unverzüglich, spätestens innerhalb eines Monats erfüllt werden.