Die Datenschutz-Grundverordnung (DSGVO) stellt viele Unternehmen vor
große Herausforderungen. Durch die Vielzahl von Änderungen im
Datenschutzrecht werden auch Änderungen im Geschäfts- und
Datenverarbeitungsprozess notwendig. Neue Prozesse müssen geschaffen
werden. Existierende Vorlagen, Prüflisten und Verträge sind zu
überarbeiten. Dabei gilt es, die Umsetzungder
Datenschutz-Grundverordnung vorausschauend zu planen und nicht erst
am 25. Mai 2018. Um sich im Gesetzestext der Verordnung zurecht zu
finden, mit welchen sich die Unternehmen jetzt und in Zukunft
auseinandersetzen müssen, haben wir hier die wichtigsten Begriffe für
Sie zusammengefasst. Im Artikel 4 des Gesetzestextes sind alle neuen
Begriffe definiert. Personenbezogene Daten bzw. betroffene Person
"Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden "betroffene Person")
beziehen; als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu
einer Online-Kennung oder zu einem oder mehreren besonderen
Merkmalen, die Ausdruck der physischen, physiologischen, genetischen,
psychischen, wirtschaftlichen, kulturellen oder sozialen Identität
dieser natürlichen Person sind, identifiziert werden kann." Das
bedeutet, dass nicht nur Name, Adresse oder Telefonnummern zu den
personenbezogenen Daten zählen, sondern auch alles andere, was sich
auf diese Person bezieht, z. B. Interessen, Kaufverhalten, Teilnahmen
an Gewinnspielen Aber auch Zusammenstellungen von Informationen wie
Online-IDs oder das eindeutige Nutzerverhalten gehören dazu, wenn
diese die Person identifizierbar machen. Verarbeitung "Jeder mit oder
ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede
solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
das Erheben, das Erfassen, die Organisation, das Ordnen, die
Speicherung, die Anpassung oder Veränderung, das Auslesen, das
Abfragen, die Verwendung, die Offenlegung durch Übermittlung,
Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
oder die Verknüpfung, die Einschränkung, das Löschen oder die
Vernichtung." Diese Auslegung zeigt, dass wirklich jede Handlung mit
Daten eine "Verarbeitung" ist. Auch wenn die Daten "nur" gesammelt
oder gespeichert werden. Profiling "Jede Art der automatisierten
Verarbeitung personenbezogener Daten, die darin besteht, dass diese
personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten,
insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche
Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit,
Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person
zu analysieren oder vorherzusagen." Zielgerichtes Marketing reicht
sehr schnell in den Definitionsbereich des Profilings. Wenn
beispielsweise ein Unternehmen ein neues Produkt vermarkten will und
dafür Werbung andie bestehenden Kunden oder frühere Interessenten
verschickt, da sie sich einmal dafür interessiert haben, kann bereits
Profiling vorliegen. Kunden können gegen Profiling jederzeit
Widerspruch einlegen. Verantwortlicher "Die natürliche oder
juristische Person, Behörde, Einrichtung oder andereStelle, die
allein oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet." In vielen
Fällen ist mit der "Verantwortliche" das Unternehmen, das die Daten
erheben lässt und bestimmt, was mit ihnen zu geschehen hat, gemeint.
Auftragsverarbeiter" eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten
im Auftrag des Verantwortlichen verarbeitet " Die Auftragsverarbeiter
sind Unternehmen -zum Beispiel Agenturen, Druckereien oder IT-Hoster.
Diese müssen auch Maßnahmen zum Schutz der Daten aufbauen und in
einer Dokumentation nachweisen können. Und: Diese Daten dürfen sie
nicht für eigene Zwecke verwenden oder gar an Dritte weiter geben,
wenn das nicht durch den Verantwortlichen beauftragt wurde. Dritter"
die unter der unmittelbaren Verantwortung des Verantwortlichen oder
des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu
verarbeiten " Das sind Stellen, an die Daten erlaubterweise
weitergegeben werden. Der Kunde muss klar und deutlich darüber
informiert werden, wer diese "Dritten" sind. Und wenn eine Person zum
Beispiel die Daten berichtigen oder löschen lässt, so muss das auch
an die Dritten weitergegeben werden. Einwilligung "Jede freiwillig
für den bestimmten Fall, in informierter Weise und unmissverständlich
abgegebene Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der die betroffenePerson zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist." Mit der
Einwilligung des Kunden sind Datenverarbeitungen möglich, die sonst
untersagt wären, zum Beispiel die Zusendung des Newsletters. Die oben
erwähnte "Freiwilligkeit" setzt voraus, dass man keine Einwilligung
einfordern darf, wenn sie für die Verarbeitung nicht notwendig wäre.
Wenn eine Autowerkstatt bei der Einwilligung zur Durchführung eines
Werkstattservices gleichzeitig auch die Einwilligung für die
dauerhafte Verarbeitung der Daten inklusive Teilnahme am
Kundenzufriedenheitsprogramm und der Zusendung von Marketing-
Material verlangt, so ist das nicht erlaubt. Die Einwilligung ist vom
Kunden "unmissverständlich" abzugeben. Das bedeutet, dass die
Handlung bewusst gesetzt werden muss. Ein bereits vorausgefülltes
Kästchen ist nicht mehr erlaubt, das Häkchen muss selber gesetzt
werden. Die Einwilligungen können außerdem vom Kunden jederzeit
leicht widerrufen werden. Die Datenschutz-Grundverordnung gilt ab 25.
Mai 2018 für alle Unternehmen, die personenbezogene Daten
verarbeiten. Ausnahmen gibt es nur für den persönlichen Bereich, wie
zum Beispiel das Sammeln von Teilnehmern für die Einladung zum
Eisstockschießen oder ähnlichen Aktivitäten. Die Verordnung gilt nur
für personenbezogene Daten von lebenden Personen, macht aber keinen
Unterschied zwischen B2B-oder B2C-Daten. Kein Thema der DSGVO sind
Daten, die keinerlei Personenbezug haben. Das sind beispielsweise
reine Firmendaten ohne Ansprechpersonen, Pläne oder Software-Codes.
Dennoch: Schlaue Unternehmen werden auch solche Daten schützen
wollen. Der Countdown läuft! (KMH)
In den folgenden 4 Ausgaben geben wir Ihnen weitere Tipps, wie Sie
bis 25. Mai Datenschutz-fit werden. Das nächste Thema: "Wie wird ein
Verzeichnis von Verarbeitungstätigkeiten umgesetzt?"
Jede Handlung mit Daten ist eine "Verarbeitung". Auch wenn die Daten
"nur" gesammelt oder gespeichert werden.
Ein vorausgefülltes Kästchen ist nicht mehr erlaubt, das Häkchen muss
selber gesetzt werden.
Das Buch richtet sich mit Praxisbeispielen an jene Mitarbeiter, die
personenbezogene Daten erfassen, sammeln und verarbeiten. Autor
Thiemo Sammern hat mehr als 20 Jahre Erfahrung im Bereich
Software-Entwicklung, Marketing und CRM. Er ist auch als Vortragender
zum Thema Datenschutz-Grundverordnung tätig. ISBN-10: 152179006X;
25,30 Euro
NEWS
Robuste und tönbare Schutzlackierung RAPTOR®
Die robuste und tönbare RAPTOR-Schutzlackierung von U-POL ist eine Lackierung aus Urethan mit großer Haltbarkeit. Sie ve...
