Die Rechte des Einzelnen – und Ihre Pflichten – wenn die neue Datenschutz-Grundverordnung in Kraft tritt

Die neue Datenschutz-Grundverordnung ( DSGVO) stellt völlig neue Anforderungen an den Umgang mit personenbezogenen Daten. Es geht darum, dass alle personenbezogenen Daten, die von Unternehmen verarbeitet werden, mit großer Integrität verarbeitet werden müssen, was für alle Unternehmen eine große Veränderung bedeutet – unabhängig von der Größe. Welche Rechte hat also die Person, deren personenbezogene Daten Sie und Ihr Unternehmen verarbeiten – und welche Pflichten haben Sie? Hier schauen wir uns genauer an, was in der Verordnung steht, und geben auch konkrete Beispiele dafür, was erforderlich ist, damit sie eingehalten wird.

Die neue Datenschutz-Grundverordnung konzentriert sich auf die Rechte des Einzelnen

Personen, deren personenbezogene Daten registriert und verarbeitet werden, erhalten erweiterte, verstärkte und spezifizierte Rechte in der neuen Datenschutz-Grundverordnung, DSGVO, im Vergleich zum alten Datenschutzgesetz, PUL. Die Verarbeitung personenbezogener Daten bedeutet jede Art der Verwendung dieser Daten. Die Rechte des Einzelnen sind wie folgt:

1. Auskunftsrecht – Die Person, deren personenbezogene Daten registriert sind, hat das Recht, auf Anfrage Auszüge daraus und Informationen darüber zu erhalten, wann ihre personenbezogenen Daten verarbeitet werden.
2. Recht auf Berichtigung – Das Recht, falsche Informationen korrigieren und/oder ergänzen zu lassen.
3. Recht auf Löschung ("Recht auf Vergessenwerden") – die Daten werden auf Antrag der Person, deren Daten registriert sind, gelöscht.
4. Recht auf Einschränkung der Verarbeitung – Die Möglichkeit (in einigen Fällen), zu verlangen, dass die Verarbeitung personenbezogener Daten eingeschränkt wird, d.h. dass sie nur für bestimmte definierte Zwecke verarbeitet werden dürfen.
5. Datenübertragbarkeit – Um (in einigen Fällen) die Möglichkeit zu haben, personenbezogene Daten weiterzugeben, zum Beispiel von einem anderen Social-Media-Dienst an einen anderen.
6. Widerspruchsrecht – Das Recht (in einigen Fällen), der Verarbeitung der personenbezogenen Daten zu widersprechen.
7. Automatisierte Entscheidungsfindung – Das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer Form der automatisierten Entscheidungsfindung beruht, wenn die Entscheidung rechtliche Folgen (oder gleichwertige Folgen) haben kann.
8. Beschwerde – Jeder, dessen personenbezogene Daten verarbeitet werden, kann eine Beschwerde bei der schwedischen Datenschutzbehörde einreichen, die dann prüft, ob eine Überwachung eingeleitet werden sollte.
9. Schadenersatz – Eine Person, die durch die Verarbeitung ihrer personenbezogenen Daten unter Verstoß gegen die Datenschutzrichtlinie einen Schaden erlitten hat, kann Anspruch auf Schadenersatz haben.

Die Einhaltung der neuen DATENSCHUTZ-GRUNDVERORDNUNG erfordert eine klare Abbildung personenbezogener Daten

Voraussetzung dafür, dass Sie und Ihr Unternehmen all diesen Verpflichtungen nachkommen können, ist in der ersten Phase, dass Sie Einblick haben, wie die Verarbeitung personenbezogener Daten derzeit aussieht. Wenn Sie nicht wissen, wo oder welche personenbezogenen Daten verarbeitet werden, können Sie diese beispielsweise nicht löschen oder auf Verlangen ändern.

Eine Zuordnung der Daten sollte die verfügbaren Daten, die Systeme, in die sie eingegeben werden, und die möglichen Dritten, mit denen die Daten geteilt werden, umfassen. Darüber hinaus müssen auch alle Prozesse rund um das Handling abgebildet werden – von der Erfassung der Daten bis zu dem Punkt, an dem der Kunde nicht mehr Ihr Kunde ist.

Wie durchsuchbar sind Ihre persönlichen Daten?

Das größte (und oft erste) Problem, auf das viele Menschen in diesem Stadium stoßen, ist, dass es schwierig ist, die registrierten persönlichen Daten zu suchen und zu identifizieren. Das kann daran liegen, dass die Dokumente und Dateien, die persönliche Daten enthalten, so gespeichert werden, dass sie nicht durchsucht werden können – auf USB-Sticks, lokal auf dem Desktop eines Computers, externen Festplatten und so weiter. Oder dass die Systeme, in denen die Daten gespeichert sind, nicht über ausreichende Suchfunktionen verfügen. Die Systeme sollten so strukturiert sein, dass sie die Anforderungen der DSGVO erfüllen – was als Privacy by Design bezeichnet wird.

Neue Datenschutz-Grundverordnung – kein Y2K-Bug

Sobald die personenbezogenen Daten abgebildet wurden, liegen die Probleme oft darin, wie Routinen und Prozesse in Fällen gestaltet werden sollten, in denen eine registrierte Person Einwände gegen die Verwendung ihrer personenbezogenen Daten erhebt, vergessen werden möchte oder Auszüge erhalten möchte und so weiter. Das Problem hier ist, wie man es in der Praxis umsetzt.

Die Tatsache, dass es sich um einen Dickichtwald handelt, um herauszufinden, wie die Prozesse implementiert werden sollten, ist nur der erste Name. Hier sieht es von Unternehmen zu Unternehmen sehr unterschiedlich aus, wie weit man bei der Vorbereitung auf die DSGVO gekommen ist. Dies wiederum hängt oft davon ab, ob die Folgen der Umsetzung der DSGVO ernst genommen werden oder nicht. Einige glauben immer noch, dass dies eine Art "Millennium-Bug" ist – eine Prophezeiung des Untergangs, die niemals ihre Rolle spielen wird. Die Wahrheit ist jedoch, dass die DSGVO einen größeren Übergang bedeuten wird, als sich die meisten Menschen vorstellen können. Die EU hat Forderungen nach Gesetzesänderungen an die Mitgliedstaaten angekündigt, was bedeutet, dass rund 100 schwedische Gesetze zugunsten der Datenschutzrichtlinie umgeschrieben werden müssen.

Hilfe von außen bekommen

Die Kartierung und Umsetzung ist nicht einfach und nur sehr wenige Unternehmen haben Experten mit fundierten Kenntnissen der neuen DATENSCHUTZ-GRUNDVERORDNUNG in ihren Mitarbeitern, die sicherstellen können, dass keine Teile der Arbeit übersehen werden. Daher ist die Schulung natürlich ein guter Anfang, um ein allgemeines Bild davon zu erstellen, was erforderlich ist, um die Datenschutz-Grundverordnung einzuhalten.

Der nächste Schritt kann sein, mit einer externen Partei ausführlich zu besprechen, wie die aktuelle Situation aussieht, um herauszufinden, was konkret zu tun ist – zum Beispiel ein Workshop. Ein solcher Workshop sollte zu einem Bericht oder einer Checkliste führen, aus der klar hervorgeht, welche Teile derzeit in Übereinstimmung mit der DSGVO betrieben werden und was noch für die vollständige Einhaltung der Verordnung erforderlich ist. Es sollte auch die Reihenfolge angeben, in der die Arbeiten zur Herstellung der verbleibenden Teile stattfinden sollten, und Vorschläge dazu enthalten, welche Lösungen verfügbar sind.

Viele Anbieter, die behaupten, angesichts der DSGVO Hilfe anzubieten, fallen darauf zurück, dass sie keine konkreten Lösungen anbieten. Stattdessen geht es oft darum, Sie und Ihre Kollegen dazu zu bringen, zu verstehen, wie umfangreich die Arbeit ist. Wenn Sie also Hilfe von außen erhalten, sollten Sie sicherstellen, dass die Lösungen praktisch und nicht nur beratende Hilfe sind. Finden Sie heraus, ob Ihr Anbieter beispielsweise technische Lösungen anbieten kann, die in die von Ihnen bereits genutzte IT-Plattform integriert werden können. Stellen Sie sicher, dass die Lösungen klar verpackt und skalierbar sind – zahlen Sie nicht für mehr, als Sie tatsächlich benötigen. Stellen Sie außerdem sicher, dass Ihr Lieferant klar zeigen kann, was das erwartete Ergebnis einer Zusammenarbeit sein wird.