Die EU-DSGVO und die Rechte der "betroffenen Person"

Heute gibt es 8 persönliche Rechte von Datensubjekten (also Rechte von natürlichen Personen), deren Wahrung Unternehmen & Behörden bei ihrem Umgang mit betroffenen Personen bezogen auf deren personenbezogenen Daten unbedingt sicherstellen müssen.

  1. Das Recht auf Information – dieses Recht bedeutet, dass Unternehmen den betroffenen Personen eine beträchtliche Menge an Informationen zur Verfügung stellen müssen, sodass der Einzelne in der Lage ist, klare und fundierte Entscheidungen darüber zu treffen, in welcher Weise und ob überhaupt ein Unternehmen seine Daten speichern darf. Es ist unerlässlich, dass diese Informationen in prägnanter, verständlicher und leicht zugänglicher Art und Sprache zur Verfügung gestellt werden. Zu diesen Informationen müssen (unter anderem) Elemente gehören wie der Zweck und die Rechtsgrundlage für die Verarbeitung, jeder Empfänger der Daten, die Rechte des Betroffenen, die Dauer der Datenaufbewahrung sowie die Möglichkeiten, sich zu beschweren und seine Rechte geltend zu machen.
  2. Das Recht auf Zugang – dadurch können betroffenen Personen auf ihre personenbezogenen Daten zugreifen, sodass sie die Rechtmäßigkeit der Verarbeitung überprüfen können. Eine Änderung der EU-DSGVO gegenüber den bisherigen Vorschriften ist, dass dies dem Betroffenen normalerweise nicht mehr in Rechnung gestellt werden darf. Hier muss ein Unternehmen geeignete Maßnahmen treffen, um die Identität der anfragenden Person zu überprüfen. Als Best Practice wird Unternehmen empfohlen, einen Remote-Zugriff zur Sicherung von Self-Service-Portalen einzurichten, damit die Betroffenen direkten Zugriff auf ihre Informationen haben.
  3. Das Recht auf Berichtigung – dadurch können die Betroffenen veranlassen, dass ihre Daten korrigiert werden, wenn sie unrichtig oder unvollständig sind. Eine Unternehmen kann es ablehnen, muss hierfür aber einen legalen und legitimen Grund vorweisen können und den Betroffenen informieren. Zugleich mit der Information muss er über sein Beschwerderecht aufgeklärt werden.
  4. Das Recht auf Löschung – dieses Recht ist allgemein bekannt als das Recht, vergessen zu werden, und besagt, dass Betroffene die Löschung ihrer Daten verlangen können, um deren weitere Verarbeitung unter allen Umständen zu verhindern. Dies wäre typischerweise dann der Fall, wenn ein Betroffener seine Zustimmung zurückzieht oder der weiteren Verarbeitung widerspricht, oder wenn die Daten im Hinblick auf den Zweck, für den sie ursprünglich erhoben wurden, nicht mehr benötigt werden. Wenn die Daten an Dritte weitergegeben wurden, müssen auch sie der Löschungsaufforderung folgen. Unternehmen müssen in der Lage sein, das Recht auf Löschung in geeigneter Form aufzuzeichnen.
  5. Das Recht, die Verarbeitung zu beschränken – dies ist in der Regel ein vorübergehender Zustand und unterbindet alle Formen der Verarbeitung mit Ausnahme der Speicherung. Ein Anwendungsbeispiel wäre, dass ein Betroffener die Richtigkeit der Daten bestreitet und dies geprüft wird.
  6. Das Recht auf Datenportabilität – dies gibt den betroffenen Personen das Recht, ihre personenbezogenen Daten zu erhalten und für persönliche Zwecke in anderen Diensten weiterzuverwenden. Diese Daten müssen in gängiger maschinenlesbarer Form kostenlos zur Verfügung gestellt werden.
  7. Das Recht auf Widerspruch – dies gibt Einzelpersonen die Möglichkeit, der Verarbeitung ihrer Daten zu widersprechen, unter anderem, wenn die Daten auf der Rechtsgrundlage legitimen Interesses verarbeitet oder zum Zwecke des Direktmarketings verwendet werden.
  8. Rechte im Zusammenhang mit automatisierten Entscheidungen oder Profilerstellung – dies ermöglicht es den Betroffenen zu sehen, wie solche Entscheidungen getroffen werden, und gibt ihnen Rechte, z. B. den Eingriff eines Menschen zu verlangen.

Auf welcher Grundlage können also Unternehmen Informationen über beispielsweise potentielle Kunden speichern?

Damit eine Organisation Daten rechtmäßig verarbeiten kann, gilt es zunächst zu klären, was unter Verarbeitung zu verstehen ist. Dies bedeutet im Wesentlichen jede Interaktion mit den Daten einschließlich ihrer Speicherung. Jede Einheit, die alleine oder zusammen mit anderen über Zweck und Mittel der Verarbeitung von Daten entscheidet, ist definitionsgemäß der Datenverantwortliche in Bezug auf diese Daten. Jede Einheit, die in ihrer Eigenschaft als oder im Auftrag eines Datenverantwortlichen eine datenverarbeitende Tätigkeit ausübt, wird Datenverarbeiter genannt.

Damit die Verarbeitung legal ist, muss sie folgenden Grundsätzen über die Verarbeitung personenbezogener Daten entsprechen.

  1. Faire und rechtmäßige Verarbeitung. In Wahrheit gibt es nur 6 Arten, Daten rechtmäßig zu verarbeiten:
    • Erforderlichkeit zur Erfüllung eines Vertrages
    • Erforderlichkeit zum Schutz lebenswichtiger Interessen eines Datensubjekts
    • Erfüllung einer gesetzlichen Verpflichtung
    • im öffentlichen Interesse oder in Ausübung staatlicher Gewalt
    • bei berechtigtem Interesse des Datenverarbeiters, außer wenn dieses Interesse die Rechte und Freiheiten der betroffenen Personen verdrängt
    • oder schließlich mit Zustimmung des Datensubjekts.

Je nach den Umständen kann jede dieser Grundlagen greifen, aber es ist wichtig zu beachten, dass jede Verarbeitungsaufgabe gesondert im Lichte dieser Grundsätze beurteilt werden muss, und dass die Beziehung einer Organisation mit einem Betroffenen über die Dauer dieser Beziehung hinweg unter mehr als einen dieser Gründe fallen kann.

  1. Angemessenheit, Relevanz und Beschränkung auf das Notwendige. Dies ist das Konzept der Minimierung. Es ist wichtig, nur die Mindestmenge an Daten zu verarbeiten, die erforderlich sind, um die spezifische Verarbeitungsaufgabe wahrzunehmen.
  2. Präzision und, wenn nötig, Aktualisierung. Unternehmen sind verpflichtet sicherzustellen, dass sie genaue Informationen über die betroffene Person verarbeiten. Es wird empfohlen, betroffenen Personen die Möglichkeit zu geben, ihre Daten zu überprüfen und gegebenenfalls zu aktualisieren.
  3. Sammlung für bestimmte, explizit genannte und legitime Zwecke. Daten, die für einen bestimmten Zweck gesammelt werden, dürfen nur für diesen Zweck verwendet werden. Dies ist wichtig im Zusammenhang mit Aquise – wer die Genehmigung nur zum Speichern von Daten eines Betroffenen hat, hat damit nicht die Genehmigung, diese Informationen zu Zwecken der Geschäftsentwicklung zu benutzen.
  4. Aufbewahrung nicht länger als erforderlich. Unternehmen müssen eine Aufbewahrungsrichtlinie zu allen Formen persönlicher Daten haben, die den Betroffenen übermittelt werden muss, wenn deren Daten zur Verarbeitung gesammelt werden. Eine unbegrenzte Zustimmung gibt es nicht.
  5. Verarbeitung in einer Weise, die Sicherheit gewährleistet. Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz persönlicher Daten vor unbefugtem Zugriff und Verarbeitung zu treffen. Dies reicht von einer angemessenen Schulung der Mitarbeiter über Richtlinien und Verfahren bis hin zu Dingen wie Datenverschlüsselung. Die Speicherung von Daten auf lokalen Geräten – Outlook-Kontaktlisten, Tabellen oder vergleichbares – ist hochriskant und sollte vermieden werden.

Bei der Gelegenheit: Daten-Silos als "persönlicher Besitzstand" einzelner Mitarbeiter dürfen einfach nicht mehr toleriert werden - alle relevanten Daten sind in eine einzige Datenbank zu migrieren. Dies erleichtert Ihrem Unternehmen die Einhaltung der EU-DSGVO und garantiert den betroffenen Personen ihre gesetzlichen Rechte - ganz davon abgesehen, dass nun die Gefahr von Bussgeldern schon mal etwas minimiert ist.

Jedes Unternehmen muss also spätestens ab 25. Mai 2018 in Form einer ausführlichen Dokumentation nachweisen können, dass sie bei der Arbeit mit personenbezogenen Daten diese oben angeführten 6 Verarbeitungsgrundsätze penibel einhält.

Wenn also ein Unternehmen eine Rechtsgrundlage für eine bestimmte Datenverarbeitungsaufgabe ausgewählt hat, ist das Unternehmen auch daran gebunden. Zum Beispiel, wenn ein Prospect um Zustimmung zur Speicherung seiner Daten gebeten wird. Erteilt er die Zustimmung nicht, so kann das Unternehmen nicht beschließen, die Daten auf der Rechtsgrundlage des legitimen Interesses zu verarbeiten.

Vertragliche Gründe sind der einfachste Ansatz, aber das Recht eines Unternehmens zur Verarbeitung der Daten muss im Einklang mit diesem Vertrag stehen.

Zustimmung ist eine der sichersten Grundlagen, weil sie viel Unklarheit beseitigt, wenn diese Zustimmung richtig gehandhabt wird, aber das größte Problem ist, dass man die Einverständniserklärung auf Double-Opt-in-Basis bekommen muss. Unternehmen, welche Datenbanken mit vielen tausend Prospects aufgebaut haben, werden garantiert feststellen, dass ihre Datenbanken wesentlich kleiner sind, nachdem sie eine Double-Opt-in-Einverständniserklärung angefordert haben. Dies bereitet ALLEN Unternehmen große Sorge, aber wenn man diese Daten von einem pragmatischen Standpunkt betrachtet: Wie viele dieser Prospects sind wirklich aktiv und stehen mit Ihnen in regelmäßigem Kontakt? Eine Datenbank mit Prospects, welche aktiv zugestimmt haben, bedeutet, dass diese Prospects wirklich wollen, dass das Unternehmen mit ihnen arbeitet.

Berechtigtes Interesse gewinnt an Beliebtheit, da es bei der Zustimmung mehr einem "Opt-out" als einem "Opt-in" entspricht, aber um sich auf legitime Interessen berufen zu können, müssen Unternehmen eine Abwägungsprüfung vornehmen und dokumentieren. Dies kann eine anspruchsvolle Prüfung sein, und sie dient dazu festzustellen, ob Interessen der Unternehmen bei der Verarbeitung der Daten in Konflikt mit Auswirkungen auf die Betroffenen und ihren Erwartungen hinsichtlich der Frage stehen, was mit ihren Daten geschieht. Ein häufiges Missverständnis in Bezug auf das berechtigte Interesse ist, das man glaubt, den Betroffenen nicht informieren zu müssen, wenn man die Daten nicht direkt von ihm selbst (sondern etwa über Medien oder ähnliches) gesammelt hat. Gemäß dem "Recht auf Information" aber müssen Unternehmen dem Betroffenen sagen, dass sie Daten über ihn haben, und ihm ein Datenschutzmerkblatt einschließlich Angaben zur Transparenz übermitteln und ihn über sein Recht auf Widerspruch innerhalb einer angemessenen Frist und sein Rechte aufklären. Diese angemessene Frist ist nicht später als ein Monat, zum Zeitpunkt der ersten Mitteilung.

Datenschutz durch Design und Voreinstellung

Um diese Grundsätze der Verarbeitung und die Zugriffsrechte der Betroffenen unter einen Hut zu bringen, müssen Unternehmen Datenschutz durch Design und Voreinstellung nachweisen können. Im Wesentlichen geht es hierbei darum, wie ernst ein Unternehmen die Sicherheit der personenbezogenen Daten nimmt, welche im Unternehmen gespeichert sind, und wie diese verarbeitet werden. Unternehmen müssen je nach den Umständen möglicherweise zusätzliche Datenschutzbeauftragte ernennen, sie brauchen klare Richtlinien und Prozesse, um die gesetzlichen Anforderungen der EU-DSGVO zu erfüllen, sie benötigen interne Audits über Verarbeitungsaktivitäten, gegebenenfalls auch Datenschutz-Folgenabschätzungen, und sie müssen Maßnahmen wie Verschlüsselung implementieren. Möglicherweise müssen Protokolle davon und Dokumentationen der zuständigen Aufsichtsbehörde zu Untersuchungszwecken zur Verfügung gestellt werden.

Was bedeutet dies nun für die Unternehmen?

Zunächst muss jedes Unternehmen über ihre Datenverarbeitungsrichtlinie nachdenken. Unternehmen müssen sowohl Regeln erstellen und schriftlich dokumentieren, welche bei der Speicherung von Informationen über Prospects einzuhalten sind. Unternehmen müssen bestimmen, wann ein "Legitimes Interesse" als Grundlage für die Verarbeitung in Betracht kommt, und unter welchen Umständen Zustimmung auf Basis von Double-Opt-in erforderlich ist.

Die meisten Aquise-Teams, die dieses Dokument lesen, werden sehr umfangreiche Datenbestände haben. Es ist extrem unwahrscheinlich, dass alle diese Daten den Vorschriften der EU-DSGVO entsprechen. Alle Unternehmen müssen dieses Problem vor Mai 2018 lösen - oder aber die bestehenden Daten ab Mai 2018 eben NICHT mehr verwenden. Sie müssen alle Daten überprüfen und mit den Betroffenen Kontakt aufnehmen – in genau der gleichen Weise, wie sie es in Bezug auf Personen tun müssen, deren Daten nach Inkrafttreten der EU-DSGVO im Mai 2018 hinzugefügt werden, da die Regeln eben nicht zwischen alten und neuen Daten unterscheiden.

Sie werden dann – vorzugsweise über ihre Datenbank oder ihr CRM-System – folgende Informationen überprüfen müssen:

  1. Auf welcher Rechtsgrundlage werden die Daten verarbeitet?
  2. Aus welcher Quelle stammen die Daten?
  3. Was ist der rechtliche Status der Daten?
  4. Wie sind die Interaktionen mit der betroffenen Person Bezug auf die Einhaltung dieser Vorschriften verlaufen?
  5. Wann müssen die Daten wieder gelöscht werden?

Zusammenfassung

Die EU-DSGVO ist ein gewaltiges, weitreichendes Gesetzeswerk mit edlen Zielen, welche dazu dient, unsere Identität zu schützen. Die enorme Reichweite (28 Länder) bedeutet allerdings, dass es in einigen Bereichen vage gehalten ist und einer Ausgestaltung der nationalen Behörden bedarf - in Deutschland ist dies mit BDSG_neu erfolgt. Viele Unternehmen werden aber Mühe haben, die erforderlichen Maßnahmen umzusetzen, um fest auf dem Boden des Gesetzes zu stehen.

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • LMK.png
  • idRoboTica.png
  • VENTURETEC.png
  • Exponet Infrakon 4c.png
  • commerzbank.gif
  • DEUTSCHE_BANK.png
  • TDT-AG.JPG
  • hvb.jpg
  • 1_LOGO_Avalara.jpg
  • BAYER.png
  • NXP.png
  • deutschepost.gif
  • dekabank.gif
  • ASKLEPIOS.png
  • 1_LOGO_NEXIONA.png
  • VOESTALPINE.png
  • vodafone.gif
  • dlr.png
  • Postbank.jpg
  • 1_LOGO_FARSITE.png