Dieser Beitrag stellt keine verbindliche Rechtsberatung dar und ersetzt daher auch nicht die juristisch qualifizierte Beratung durch einen Anwalt.
Im Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. Falls ihr es also noch nicht getan habt: Jetzt ist eine gute Zeit, zu überprüfen, ob euer Unternehmen die Vorgaben und Vorschriften dieses Gesetzeswerkes erfüllt.
Die EU-Datenschutz-Grundverordnung gilt für alle Unternehmen, die entweder in der EU ansässig sind oder Daten aus dem EU-Raum verarbeiten. Die zahlreichen, teilweise neuen Regularien gelten also auch für internationale Unternehmen mit Hauptsitz außerhalb der EU, die Kunden im EU-Raum ansprechen wollen.
Bereits an anderer Stelle haben wir erläutert, wie sich Criteo auf die geänderte Rechtslage vorbereitet hat. In diesem Beitrag wollen wir unsere Kunden und Partner darüber informieren, welche Schritte sie unternehmen müssen, um die Vorgaben der Datenschutz-Grundverordnung gleichfalls zu erfüllen.
Euer Unternehmen profitiert wahrscheinlich sogar von der EU-Datenschutz-Grundverordnung: Sie harmonisiert die entsprechende Gesetzgebung in allen 28 Mitgliedsstaaten der EU – einschließlich Großbritannien.
Ihr seid noch gar nicht oder nur teilweise vorbereitet? Keine Panik! Noch ist ausreichend Zeit, zu planen, eure Unternehmensrichtlinien anzupassen und/oder in neue Technologien zu investieren. Mit diesen Best Practices solltet ihr beginnen:
Ernennung eines Datenschutzbeauftragten
In den folgenden Fällen verlangt die EU-Datenschutz-Grundverordnung zwingend die Ernennung eines Datenschutzbeauftragten:
- Die Datenverarbeitung erfolgt durch eine Behörde oder öffentliche Institution – mit Ausnahme von Gerichten in Ausübung ihrer Tätigkeit.
- Die zentralen Aufgaben des Controllers oder der Datenverarbeitung umfassen Prozesse, die ihrer Natur, ihrem Umfang oder ihrem Zweck nach die regelmäßige und systematische Überwachung von Datensubjekten in großen Maßstab beinhalten.
- Oder: Die zentralen Aufgaben von Controlling und Datenverarbeitung umfassen die Verarbeitung von sensiblen Daten in großem Maßstab (zum Beispiel Daten zu Ethnizität, Herkunft, Religion, Weltanschauung, Gesundheit, sexuellen Präferenzen usw.) oder von persönlichen Daten mit Bezug auf Straftaten bzw. strafrechtlichen Verurteilungen.
Der Datenschutzbeauftragte ist dabei für Überwachung und Management sowohl der Daten als auch der Prozesse zuständig und muss dafür sorgen, dass alle Regeln und Vorschriften eingehalten werden. Für den Datenschutzbeauftragten darf zudem nachweislich kein Interessenskonflikt in Hinblick auf den Datenschutz in eurem Unternehmen bestehen.
Der Datenschutzbeauftragte sollte auf seine Tätigkeit und vor allem auf die notwendige Zusammenarbeit richtig vorbereitet sein.
Sollte es aktuell Mängel und Probleme im Datenschutz eures Unternehmens geben, sind eure Mitarbeiter die beste Informationsquelle. Ihr müsst also sicherstellen, dass der Datenschutzbeauftragte ebenso wie die für Rechtsfragen, Compliance und IT zuständigen Mitarbeiter genaue und umfassende Kenntnis der Datenverarbeitung in eurem Unternehmen haben. Hand in Hand sollten sie einen rechtlich verlässlichen Prozess zur kollaborativen Datenerfassung schaffen.
Transparenz und Kontrolle
Alle Informationen, die ihr euren Kunden zur Verfügung stellt, sollten so klar und transparent wie möglich formuliert sein. Das gilt selbstverständlich auch für die notwendigen Zustimmungserklärungen. Eure Website sollte euren Kunden explizit erklären, welchen Datenerhebungen sie in welchem Umfang zustimmen, bzw. ablehnen, was die jeweiligen Konsequenzen sind und welche Daten sie euch zur Verfügung stellen. Das ist ein zentraler Aspekt der EU-Datenschutz-Grundverordnung. Mehr Informationen zu diesem Thema findet ihr hier.
Daten-Governance muss an erster Stelle stehen.
Für alle Schritte der Datenverarbeitung, die möglicherweise negativ in die Persönlichkeitsrechte von Betroffenen eingreifen, solltet ihr einen Prozess zur Überprüfung des Datenschutzes etablieren. Zudem sollte euer Unternehmen nicht nur in allen Fällen erklären können, wie persönliche Daten gesammelt, genutzt und möglicherweise sogar verändert werden, sondern auch Prozesse bereitstellen, mit deren Hilfe EU-Bürger Daten einfach zur Verfügung stellen, einsehen oder löschen lassen können. Die EU-Datenschutz-Grundverordnung schreibt zwingend vor, dass die Daten-Infrastruktur eures Unternehmens Datenverarbeitungsprozesse protokolliert. Zudem sollten eure Unternehmensprozesse mit Hinblick auf Compliance möglichst vollständig transparent sein.
Kontrolle des Datenzugriffs durch Mitarbeiter und Arbeitspartner
Mitarbeiter und Partner dürfen nur in dem Umfang Zugriff auf eure Daten haben, in dem dies im Rahmen ihrer Tätigkeit notwendig ist. Deswegen müsst ihr strikte Autorisierungsprozesse etablieren. Eure Datenschutzrichtlinien sollten auf Basis des Bedarfs eures Unternehmens kontinuierlich aktualisiert und engmaschig auf ihre Einhaltung hin kontrolliert werden – insbesondere bei Datentransfers. Kapitel V der EU-Datenschutz-Grundverordnung schreibt zudem vor, dass Empfänger von Daten, die außerhalb des EU-Raumes ansässig sind, die gleichen Datenschutz- und Governance-Vorschriften erfüllen müssen wie Unternehmen innerhalb der EU.
Mehr Informationen findet ihr in unserem Webinar DSGVO – Criteo ist bereit.