Die neue Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) tritt ab dem 25. Mai 2018 in Kraft. Die einhergehenden Regeln betreffen alle Unternehmen und Vereine, die persönliche Daten innerhalb der EU behandeln. Für Sie als Unternehmer ist es wichtig, dass die entsprechenden Prozesse für die korrekte Verarbeitung persönlicher Daten etabliert ist. In diesem Artikel geben wir Ihnen einen Überblick über die wichtigsten Aspekte der neuen Datenschutz-Grundverordnung und was Sie dabei beachten sollten.

Was bedeutet DSGVO?

Es gibt verschiedene Gründe für den Entschluss der EU, die neue Datenschutz-Grundverordnung (EU-DSGVO) zu implementieren. Zunächst ist es ethisch gesehen mehr als vertretbar; die Privatsphäre eines Individuums sollte besser geschützt sein. Zusätzlich spielen ökonomische Hintergründe eine Rolle. Es wird vorausgesagt, dass die neuen Regelungen zu einem höheren Maß an Vertrauen in den Markt – und dabei primär dem Online-Markt – führen werden. Dies würde zu einem Wachstum des internationalen Handels führen.

Ist es wichtig, den Regeln der DSGVO zu folgen?

Ein Unternehmen, welches den Regeln der EU-DSGVO nicht nachkommt, kann mit einer Strafe rechnen, wobei sich die Höhe der Strafe auf das Ausmaß der Regelüberschreitung bezieht. Während ein Unternehmen in Einzelfällen lediglich eine Abmahnung erhalten kann, könnte die Firma bei schwerem und wiederholtem Nichteinhalten ebenso eine Geldstrafe erteilt bekommen – diese kann bis zu 20 Millionen € – oder 4 % des Jahresumsatzes – betragen.

Wen betrifft die DSGVO?

Die Änderungen betreffen alle Unternehmen, klein wie groß, doch vor allem Unternehmen, die kontinuierlich Daten sammeln oder behandeln. Diese Regeln betreffen nicht nur Daten über Kunden oder andere Geschäftspartner, sondern auch Mitarbeiter. Dies bedeutet, dass gewissermaßen alle Unternehmen betroffen sind.

In Anbetracht dieser Regelungen ist es für Sie wichtig, Ihre gegenwärtigen Prozesse wahrzunehmen und entsprechende Änderungen schon heute vorzunehmen. Im Folgenden finden Sie eine Übersicht darüber, wie Sie in Ihrem Unternehmen sicherstellen können, dass Sie für die Änderungen, die mit der EU-DSGVO einhergehen, gewappnet sind.

Suchen Sie einen Steuerberater oder Buchhalter? Finden Sie hier einen Berater in Ihrer Nähe

Überprüfen Sie Ihre aktuelle Datenbank

Überprüfen und dokumentieren Sie, welche Informationen Sie bereits gespeichert haben und welche Art von Informationen Sie speichern. Die Grundlage für die EU-DSGVO ist, dass keine personenbezogenen Daten gespeichert werden dürfen. Dies bedeutet nicht, dass absolut keine Datensammlung mehr möglich ist, sondern dass die Motive hierfür vom Gesetz unterstützt werden müssen.

Relevanz der Daten

Viele Unternehmen haben historische Mitarbeiter- und Kundendaten, die im Archiv ruhen und verstauben. Gemäß der EU-DSGVO dürfen personenbezogene Daten nicht länger als nötig gespeichert werden, was bedeutet, dass Sie Informationen über ehemalige Mitarbeiter und Kunden im Unternehmen löschen sollten. Auch hier gibt es eine Ausnahme, sobald die Daten als Teil einer Verpflichtung gegenüber der Einzelperson gespeichert werden.

Die Art der Daten

Stellen Sie auch sicher, welche Art von Daten gespeichert und behandelt werden, da die EU-DSGVO zwischen “personenbezogenen Daten” und “sensiblen personenbezogenen Daten” unterscheidet. Die Verarbeitung sensibler personenbezogener Daten ist untersagt (Art. 9, DSGVO), es sei denn, die Behandlung dieser Art von Daten ist für Ihr Unternehmern von zentraler Bedeutung. Ein Beispiel für ein Unternehmen, welches sensible Daten behandelt, ist ein Gesundheitsunternehmen, welches Patientenakten behandelt.

Als sensibel gelten Aufgaben in Verbindung mit folgenden Kategorien:

  • Ethnizität
  • Religion
  • Mitgliedschaft in Gewerkschaften
  • Politische Überzeugungen
  • Gesundheit
  • Sexualität

Verarbeitet Ihr Unternehmen sensible Daten, die in eine oder mehrere der oben genannten Kategorien fällt, dann ist ein strengerer Datenschutz erforderlich. Sensible Daten, die für Ihr Unternehmen nicht relevant sind, sollten nicht länger aufbewahrt werden.

Wann ist es legal, personenbezogene Daten zu verarbeiten?

Zustimmung

Sie können personenbezogene Daten verarbeiten, wenn die betreffende Person ihre Einwilligung gegeben hat. Nachdem die Einwilligung gegeben wurde, müssen weitere Informationen deutlich gemacht werden, damit die Einwilligung als gültig angesehen werden kann: Wer sammelt die Informationen, welche Informationen werden verarbeitet, wozu wird die Information verwendet. Es sollte weiterhin möglich sein, die Einwilligung rückgängig zu machen.

Die EU hat keine genauen Beschreibungen darüber veröffentlicht, wie die Zustimmung zur Datensicherung genau zu treffen ist. Das Wichtigste dabei ist jedoch, dass dies in einer klaren Art und Weise geschieht, sodass keine Missverständnisse aufkommen. Bisher konnte es in einzelnen Fällen ausreichen, einen Text herunter zu scrollen – dies genügt nun nicht mehr. Durch das Klicken auf einen Button kann es offensichtlicher sein, dass man seine Zustimmung gibt. Ein weiterer wichtiger Aspekt ist, dass die Information, die zur Zustimmung führt, sowohl leicht verfügbar als auch leicht verständlich ist und dabei komplexe Begriffe vermieden werden.

Dabei reicht es nicht aus, dass die Person der Datenspeicherung nur zustimmt: In dem Prozess müssen Sie einen Bestätigungsnachweis geben. In diesem Fall überlässt die EU den Unternehmen die genaue Gestaltung des Systems. Die wichtigste Richtlinie hierbei ist, dass der geänderte Prozess bei Ihnen nicht zu einer erhöhten Datenspeicherung beiträgt.

Vereinbarung

Ein anderer wichtiger Anlass für die Verarbeitung von personenbezogenen Daten wäre eine einvernehmliche Vereinbarung mit der Person – dies ist z.B. im Beschäftigungsverhältnis oer einer Rechnungsausstellung der Fall. Die Regelungen der EU-DSGVO legen wiederum fest, dass nur die Informationen gespeichert werden können, die zur Erfüllung der Vereinbarungen benötigt werden.

Rechtlicher Verpflichtung

In bestimmten Fällen muss Ihr Unternehmen Daten verarbeiten, um gesetzlichen Verpflichtungen nachzukommen. Ein Beispiel hierfür ist die Zahlung von Steuern oder Arbeitgeberkosten. In diesem Fall muss der Arbeitgeber Informationen, wie z. B. die Heimatadresse, speichern.

Schutz von lebenswichtigen Informationen

Einige Daten sind erforderlich, um die Sicherheit einer Person gewährleisten zu können. In diesem Fall haben Unternehmen das Recht, personenbezogene Daten zu speichern. Dies könnte beispielsweise ein Mitarbeiter mit einer für ihn lebensbedrohlichen Allergie sein.

Interessenausgleich

In einigen Fällen kann es gerechtfertigt sein, personenbezogene Daten zu sammeln, da das Interesse der Organisation, diese zu erstellen, schwieriger ist als das Interesse der Person, anonym zu bleiben. Dies basiert auf dem sogenannten Interessenausgleich, wonach die unternehmerisch wirtschaftlichen Interessen des Unternehmers mit denen der Arbeitnehmer im Betrieb anlässlich einer geplanten Änderung abgewogen werden. Sensible Daten sollten nicht auf der Grundlage eines Interessenausgleichs gesammelt oder behandelt werden.

Bereiten Sie sich auf die Datenschutz-Grundverordnung vor

Sobald Sie sicherstellen können, dass Ihre gespeicherten Daten den Regelungen entsprechen und die zukünftige Sammlung nach der DSGVO akzeptiert ist, sollten Sie dies innerhalb des Unternehmens kommunizieren. Seien Sie transparent und informieren Sie Ihre Mitarbeiter über die aktuellen Daten und wie Datenverarbeitung in Zukunft bearbeitet wird.

Planen Sie voraus und erstellen Sie die nötigen Systeme, um persönliche Daten kontinuierlich zu reinigen und keine unberechtigten Daten zu sammeln. Ein weiterer wichtiger Aspekt der EU-DSGVO besteht darin, dass Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten haben. Stellen Sie sich somit darauf ein, dass die Verwendung von personenbezogenen Daten gegebenenfalls eingestellt werden muss – z. B. im Fall von Direktwerbung per E-Mail.

Erstellen Sie ein Register für die Datenschutz-Grundverordnung

Die neue Datenschutz-Grundverordnung fordert von Unternehmen, die kontinuierlich Daten sammeln, dass sich diese für die Sammlung von Daten registrieren. In einem solchen Register sollten z. B. enthalten sein: die Behandlungszwecke, die Personen- und Datenkategorien sowie die eventuellen Fristen für das Löschen der Daten. Dabei sollten sie zudem die externen Empfänger der Daten und deren Standorte mit einbeziehen. Für größere Unternehmen könnte es wichtig sein, einen sogenannten Data Protection Officer einzustellen, der feststellen kann, wie das Unternehmen den neuen Regelungen entsprechend optimiert werden kann.

 

Über Ageras

Ageras wurde 2012 gegründet und verbindet Kunden mit relevanten Experten und verschafft dabei Transparenz in der Steuerberatungs- und Buchhaltungsbranche - zum Vorteil der Mandanten und der Berater. Wir sind in Europa die größte Plattform ihrer Art. Unser Netzwerk umfasst europaweit tausende Experten, die bereit sind, ein passendes Angebot für Ihre Anfrage zu erstellen.

Falls Sie Unterstützungen bei steuerrechtlichen Pflichten benötigen, helfen wir Ihnen gerne. Bei uns bekommen Sie bis zu 3 unverbindliche Angebote von Steuerberatern und Buchhaltern in Ihrer Nähe – kostenlos und schnell. Finden Sie schon heute einen Berater in Ihrer Nähe.

Für weitere Informationen empfehlen wir das offizielle Amtsblatt der Europäischen Union

Inhalt