Previous Page  60 / 68 Next Page
Information
Show Menu
Previous Page 60 / 68 Next Page
Page Background

BERLINER WIRTSCHAFT 03/17

60

NEUE UNTERNEHMEN & MÄRKTE

DIESE VERORDNUNG

KANNTEUERWERDEN

D

ie neue Datenschutz-Grund-

verordnung (DS-GVO) gilt vom

nächsten Jahr an. Einige Ver-

änderungen sind jetzt schon zu beach-

ten, denn Datenschutz ist kein Randthe-

ma: Wegen hoher Geldbußen bei Verstö-

ßen sollten auch Start-ups dem Thema

ausreichend Aufmerksamkeit widmen.

Für wen gilt die Datenschutz-Grund-

verordnung?

Wer personenbezogene Daten von

EU-Bürgern verarbeitet, muss die DS-

GVO einhalten. Sie gilt nicht mehr nur

für Unternehmen mit Sitz in der EU, son-

dern für jeden, der EU-Daten verarbeitet,

unabhängig vom Ort der Niederlassung.

Nicht nur die Verantwortlichen einer Da-

tenverarbeitung, die den Zweck der Ver-

arbeitung festlegen, sollten die Änderun-

gen beachten. Auch sogenannte Auftrags-

verarbeiter, die personenbezogene Daten

für andere als Service-Provider verarbei-

ten, werden verpflichtet, beispielsweise

Newsletter-Versender, Callcenter oder

Hosting-Anbieter.

Wann dürfen personenbezogene Daten

verarbeitet werden?

Datenverarbeitung ist unter Anderemnur

rechtmäßig, wenn der Betroffene einge-

willigt hat oder die Datenverarbeitung er-

forderlich ist, beispielsweise zur Durch-

führung eines Vertrages.Wie bereits nach

derzeitigem deutschem Recht muss die

Einwilligung freiwillig und ausdrücklich

erteilt werden. Eine versteckte Einwilli-

gung, z.B. in der Datenschutzerklärung,

ist nicht ausreichend. Formulierungen in-

nerhalb von Nutzungsbedingungen – et-

wa: „Durch das Anlegen eines Accounts

Von wegen Randthema: 2018 tritt die neue Datenschutz-Grundverordnung in Kraft. Ignorieren

Start-ups Vorschriften daraus, drohen ihnen immense Geldbußen

»

Von Christina Schattauer

den, dass z.B. auch E-Mails personenbe-

zogene Daten sind.

Zudem muss angegeben werden, ob

Daten in Drittländer (außerhalb der EU)

übermittelt werden, ggf. muss die Grund-

lage dieser Übermittlung angegeben

werden. Das können insbesondere die

EU-Standardverträge, verbindliche Un-

ternehmensregeln oder ein Angemes-

senheitsbeschluss der EU-Kommission

sein, mit dem sie für bestimmte Länder,

z.B. Kanada oder die Schweiz, ein siche-

res Datenschutzniveau anerkannt hat.

Eine Liste findet sich auf der Kommissi-

ons-Webseite. Datenübermittlungen an

Unternehmen in den USA sind zudemauf

der Grundlage einer Privacy-Shield-Zer-

tifizierung möglich. Dieses Abkommen

wird, wie schon seinVorgänger Safe Har-

bour, derzeit gerichtlich überprüft.

Die Aufbewahrungsfrist der Datenmuss

genannt werden.

Welche Rechte haben Betroffene? Sie

müssen über die Möglichkeit, Auskunft,

Sperrung und Löschung zu verlangen, in-

formiert werden, können der Datenverar-

beitung widersprechen und Einwilligun-

gen jederzeit widerrufen. Neu sind die

Hinweispflichten auf das Recht zur Be-

schwerde bei einer Datenschutzbehörde

und Datenportabilität zu einem anderen

Anbieter. Social-Media-Dienstanbietern

dürfte die Umsetzung aufgrund der Ver-

schiedenartigkeit der gespeicherten Da-

ten (Text, Ton, Bild) Probleme bereiten.

willigen Sie ein, dass wir Ihre Angaben zu

Marketingzwecken durch Partnerfirmen

nutzen.“ – sind unwirksam. Eine Einwil-

ligung durch Anklicken eines Kästchens,

bevor man beispielsweise ein Produkt

online kauft, bleibt grundsätzlich mög-

lich. Strengere Anforderungen gelten z.B.

bei der Verarbeitung von Gesundheits-

daten, biometrischen Daten oder Daten

von Kindern. Die DS-GVO erfordert auch

weit reichende interne Dokumentations-

pflichten. Das gilt nicht nur fürWebseiten

im Internet, sondern auch für Apps.

Über was muss informiert werden?

Neu eingeführt werden umfangreiche

Informationspflichten des Verantwort-

lichen und auch des Auftragsverarbei-

ters. Ein Verstoß gegen diese Informati-

onspflichten kann Geldbußen von bis zu

20 Mio. Euro oder vier Prozent des welt-

weiten Jahresumsatzes nach sich ziehen.

Die Information muss insbesondere

Folgendes enthalten:

Wer ist der Verantwortliche? Für Unter-

nehmen außerhalb der EU, muss einVer-

treter in der EU benannt werden.

Zu welchem Zweck sollen die Daten

verarbeitet werden, beispielsweise zur

Erstellung eines Nutzerkontos.

Wer sind die Empfänger, beispielsweise

die Personalabteilung.

Welche Kategorien von Daten sollen er-

hoben werden? Hier sollte beachtet wer-

20Mio.

Euro oder vier Prozent desweltweiten Jahres-

umsatzes

kann Unternehmen der Verstoß

gegen Informationspflichten beim Umgang

mit personenbezogenen Daten kosten

1 55 56 57 58 59 60 61 62 63 64 65 66 68  FlippingBook