Die DSGVO wird 5 Jahre alt!

Welche Erinnerungen haben Sie an das Jahr 2018 und die Ereignisse, die uns in diesem Jahr besonders bewegten? Viele erinnern sich sicherlich an den heißen Sommer oder das Ausscheiden der Deutschen Nationalmannschaft bei der Weltmeisterschaft in Russland. Aber es gab noch ein weiteres wichtiges Ereignis: Seit dem 25. Mai 2018 gilt für alle Mitgliedsstaaten der EU die Datenschutz-Grundverordnung (DSGVO).

Datenschutz ist seitdem ein sehr präsentes und wichtiges Thema, aber noch nicht zu 100 Prozent gelebter Alltag. Dabei ist ein DSGVO-konformer Umgang mit personenbezogenen Daten enorm wichtig und hilft dabei, hohe Bußgelder zu vermeiden.

Die DSGVO ist eine Verordnung der Europäischen Union und soll sicherstellen, dass personenbezogene Daten geschützt sind. An dieser Verordnung müssen sich auch große US-Konzerne halten: Das härteste, bisher verhängte Bußgeld traf ganz aktuell den Facebook-Mutterkonzern “Meta”. Die irische Datenschutzkommission (DPC) hat, wegen der Übermittlung von Benutzerdaten an die USA, ein Rekordbußgeld in Höhe von 1,2 Milliarden Euro verhängt.

Aber was hat sich durch die DSGVO geändert?

In den letzten fünf Jahren hat die DSGVO die Art und Weise verändert, wie Unternehmen personenbezogene Daten verarbeiten. Neu für den Datenschutz ist vor allem die Rechenschaftspflicht. Nach der DSGVO müssen Unternehmen nachweisen und belegen können, dass sie die in der Verordnung festgelegten Grundsätze einhalten. Unternehmen müssen also auf Anfrage der Aufsichtsbehörden nachweisen, dass die Verarbeitung personenbezogener Daten DSGVO-konform erfolgt.

Dabei sind 4 Grundprinzipien zu beachten: Zweckbindung, Transparenzgebot, Datenminimierung und das Verbot mit Erlaubnisvorbehalt.

Zweckbindung

Vor der Erhebung und Verarbeitung der Daten muss ein eindeutiger Zweck festgelegt werden, der auf einem gesetzlichen Erlaubnistatbestand beruht (vgl. Art. 6 DSGVO). Bei Zweckänderung und Übermittlung ist ein neuer Erlaubnistatbestand erforderlich. Bei einer Zweckänderung ist eine entsprechende Information der Betroffenen gem. Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO verpflichtend.

Transparenzgebot

Die Datenschutz-Grundverordnung hat auch die Transparenz verbessert, insbesondere durch die Vorschrift, dass alle Informationen und Mitteilungen, die die Verarbeitung personenbezogener Daten betreffen, leicht zugänglich, verständlich und in einer klaren und einfachen Sprache abgefasst sein müssen. Der Grundsatz verlangt, dass betroffene Personen proaktiv über geplante Datenverarbeitungen informiert werden, einschließlich Informationen über den Zweck, die Empfänger der Daten und die Dauer der Speicherung.

Datenminimierung

Gemäß dem Grundsatz der “Datenminimierung” sollte ein für die Verarbeitung personenbezogener Daten Verantwortlicher die Erhebung von Daten auf die Informationen beschränken, die für einen bestimmten Zweck unmittelbar relevant und erforderlich sind. Darüber hinaus sollten die Daten nur so lange aufbewahrt werden, wie es für die Erfüllung dieses Zwecks erforderlich ist. Mit anderen Worten sollten die für die Verarbeitung Verantwortlichen nur die personenbezogenen Daten erheben, die sie benötigen, und diese Daten nur so lange aufbewahren, wie dies erforderlich ist.

Verbot mit Erlaubnisvorbehalt

Das Prinzip des Verbots mit Erlaubnisvorbehalt besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es liegt eine ausdrückliche Erlaubnis vor. Erlaubnisse können sich aus gesetzlichen Regelungen oder aus der ausdrücklichen Einwilligung der Betroffenen ergeben.

Aus unserer Sicht hat die DSGVO bereits zum jetzigen Zeitpunkt viel Positives bewirkt. Die Einhaltung der Datenschutzbestimmungen und der transparente Umgang mit personenbezogenen Daten können das Vertrauen der Kunden in das Unternehmen stärken. Unternehmen, die viele Daten verarbeiten und dabei die Verpflichtungen der DSGVO einhalten, können sich einen Wettbewerbsvorteil verschaffen. Durch eine sorgfältige Dokumentation und Kontrolle können Datenverarbeitungsprozesse verbessert und damit effizienter gestaltet werden. Auch das Risiko von (hohen) Bußgeldern wird durch die Einhaltung der Datenschutzbestimmungen verringert. Insgesamt wirkt sich der Datenschutz erheblich auf das Image des Unternehmens aus.

Es bleibt abzuwarten, wie die Zukunft der DSGVO aussehen wird. Insbesondere im Hinblick auf den zunehmenden Einsatz von künstlicher Intelligenz.

Der zunehmende Einsatz von künstlicher Intelligenz (KI) in Unternehmen bietet viele Chancen, wie die Automatisierung von Prozessen durch den Einsatz von Datenanalysen und -prognosen. Es gibt jedoch auch Probleme, die damit einhergehen, insbesondere in Bezug auf den Datenschutz. Die Zukunft der DSGVO im Zusammenhang mit künstlicher Intelligenz wird von der Notwendigkeit geprägt sein, sicherzustellen, dass die Datenschutzanforderungen mit der technologischen Entwicklung Schritt halten. In diesem Zusammenhang wird es wichtig sein, dass Unternehmen eine verantwortungsvolle Nutzung künstlicher Intelligenz sicherstellen und ihre Prozesse und Systeme kontinuierlich anpassen und verbessern, um den Schutz personenbezogener Daten zu gewährleisten.

Was es zu beachten gilt: Unsere Checkliste

Und zum Geburtstag der DSGVO schenken wir Ihnen eine Checkliste mit den wichtigsten Punkten, die es bei der Umsetzung der DSGVO zu beachten gilt:

• Überprüfen Sie Ihre internen Datenschutzrichtlinien, gegebenenfalls mit Hilfe externer Datenschutzexperten, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.
• Erstellen Sie ein umfassendes Verarbeitungsverzeichnis, das auf Anfrage der Aufsichtsbehörden jederzeit zur Verfügung steht.
• Dokumentieren Sie Datenschutz-Folgenabschätzungen und Risikoanalysen für alle (sonstigen) Verarbeitungsprozesse.
• Überprüfen Sie und aktualisieren Sie gegebenenfalls Ihre Verträge mit Auftragsverarbeitern und prüfen Sie, ob die Auftragsverarbeiter Garantien, gemäß Art. 28 DSGVO, bieten.
• Überprüfen Sie bestehende Einwilligungserklärungen der betroffenen Personen und aktualisieren Sie diese gegebenenfalls.
• Ergreifen Sie Maßnahmen, um Ihre individuellen Löschpflichten gemäß dem Grundsatz der Datenminimierung und Speicherbegrenzung umzusetzen.
• Pseudonymisieren Sie personenbezogene Daten, für die eine Zuordnung zur konkreten Person nicht (mehr) erforderlich ist.
• Löschen Sie personenbezogene Daten, wenn der ursprüngliche Verarbeitungsgrund nicht mehr gegeben ist, andere rechtliche Anforderungen nicht ausreichend erfüllt werden können, oder wenn eine Pseudonymisierung nicht machbar oder unangemessen erscheint.
• Überprüfen Sie die Sicherheit Ihrer IT-Systeme gemäß dem Grundsatz “Privacy by Design” und passen Sie diese gegebenenfalls an. Zum Beispiel durch eine verbesserte Datenverschlüsselung.
• Richten Sie ein Meldesystem für den Fall von Datenpannen ein.
• Erstellen und kommunizieren Sie einen Maßnahmenplan zur Gewährleistung umgehender Gegenmaßnahmen sowie einer möglichen Meldepflicht (innerhalb von 72 Stunden) bei der Aufsichtsbehörde.
• Sensibilisieren Sie alle Mitarbeiter*innen für die Einhaltung der DSGVO und bieten Sie entsprechende Schulungen an.
• Schließen Sie Datenschutzverpflichtungserklärungen für alle Mitarbeiter*innen ab, die potenziell mit personenbezogenen Daten arbeiten.