DSGVO – Teil 2

Kentico

Im ersten Teil unserer Einführung in die DSGVO haben wir beleuchtet wie sich die Verordnung auf Unternehmen innerhalb der EU auswirkt und warum sie auch für Unternehmen außerhalb der EU gilt. Im zweiten Blogbeitrag tauchen wir noch tiefer in die Bedeutung von personenbezogenen Daten ein und was Content Management Systeme damit zu tun haben. Außerdem schauen wir uns an, welche Rechte Einzelpersonen durch die DSGVO bekommen und welche Verantwortung damit auf Unternehmen lastet.

Wie wird sich die DSGVO auf die Nutzung von Content Management Systemen in Unternehmen auswirken?

Content Management Systeme (CMS) beinhalten viele Features, die mit personenbezogenen Daten arbeiten. Diese Features müssen dahingehend analysiert werden, ob und wie Daten gespeichert und weiterverarbeitet werden. Das betrifft beispielsweise Newsletter-Anmeldungen bzw. das gesamte Email-Marketing oder Web-Analytics. In unserem letzten Beitrag haben wir zu den Web-Analytics schon ein Beispiel angeführt – da ist es wichtig zu wissen, ob User innerhalb oder außerhalb der EU auf eine Website zugreifen, und welche Art von Zustimmung zur Verarbeitung und Speicherung von Daten von ihnen vorhanden ist.

Darüber hinaus haben Einzelpersonen weitreichendere Rechte gegenüber Unternehmen, die ihre Daten verarbeiten (so genannte Datenverarbeiter bzw. Verantwortliche), denn Personen können eine Kopie aller eigenen personenbezogenen Daten verlangen. Ein CMS muss einen solchen Daten-Export ermöglichen. Außerdem haben Personen das Recht all diese Daten zu nehmen und einem anderen Unternehmen (Datenverarbeiter) weiterzugeben, damit diese in ein anderes CMS übertragen werden können. Ein CMS muss daher personenbezogene Daten exportieren und importieren können.

Sollten Organisationen einen Datenschutzbeauftragten (Data Protection Officer, DPO) bestellen? Gibt es eine andere Lösung?

Ob ein Datenschutzbeauftragter bestellt werden muss, hängt von der Art der Organisation ab. Es gibt unterschiedliche Szenarien (Artikel 37):

  1. Wenn die Datenverarbeitung von einer öffentlichen Einrichtung oder Stelle betrieben wird, muss ein Datenbeauftragter bestellt werden.
  2. Bei privaten Unternehmen hängt die Bestellung davon ab, ob sich das Kerngeschäft rund um das Sammeln und Verarbeiten von personenbezogenen Daten dreht, d.h. ob diese Schlüsseltätigkeiten notwendig sind, um die Geschäftsziele des Unternehmens zu erreichen. Solche Unternehmen müssen dann einen Datenschutzbeauftragten bestellen, wenn ihre Schlüsselaktivitäten ein systematisches und regelmäßiges Monitoring von Onlinenutzern in großem Umfang bedeutet.
  3. Wenn eine Organisation vertrauliche Daten, oder persönliche Daten bezüglich strafrechtlicher Verurteilungen und Rechtsverletzungen speichert, dann ist ein Datenschutzbeauftragter vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist in der DSGVO jedoch untersagt. Dazu gehören personenbezogene „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie […] genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.“ (Artikel 9)

Eine Ausnahme für die Bestellung eines Datenschutzbeauftragten könnte das Kriterium der „umfangreichen Verarbeitung personenbezogener Daten“ sein, wobei derzeit immer noch nicht klar ist, wie weit das reicht. Die Article 29 Data Protection Working Party (Arbeitsgruppe bestehend aus einem Repräsentanten der Datenschutzbehörde aus jedem EU-Mitgliedsstaat) hat Beispiele für die „umfangreichen Verarbeitung personenbezogener Daten“ veröffentlicht:

  • “processing of customer data in the regular course of business by an insurance company or a bank
  • processing of personal data for behavioural advertising by a search engine
  • processing of data (content, traffic, location) by telephone or internet service providers.”

Obwohl viele Unternehmen durch diese Kriterien von der Bestellung eines Datenschutzbeauftragten ausgenommen sind, kann sich das durch die nationale Gesetzgebung der Mitgliedsstaaten noch ändern. In Deutschland sind die Regeln für einen Datenschutzbeauftragten beispielsweise strenger, in Österreich ist die Regelung noch nicht festgelegt.

Welche Rechte haben Personen durch die DSGVO?

Wir haben bereits erwähnt, dass eine Übertragung personenbezogener Daten von CMS zu CMS möglich sein muss. Einzelpersonen bekommen durch die DSGVO viel mehr Rechte, weit über eine rechtmäßige Verarbeitung ihrer Daten hinaus. Es gibt z.B. das Recht auf Benachrichtigungen, bei dem Personen darüber informiert werden müssen, dass ihre Daten verarbeitet werden. Das bekannteste Recht in diesem Zusammenhang ist das Recht auf Vergessenwerden und auf Löschung. Das bedeutet, dass Personen verlangen können, dass Datenverantwortliche alle ihre personenbezogenen Daten löschen müssen. Es gibt jedoch Situationen in denen ein Datenverantwortlicher nicht gezwungen ist dieser Löschung nachzukommen, z.B. im Zusammenhang mit Meinungsfreiheit, Informationsfreiheit, Gemeinwohl, usw. Eine Person mit einem bestehenden Vertrag kann beispielsweise keine sofortige Löschung der Daten beantragen. Wichtig ist aber, dass ein CMS User-Daten komplett vergessen und löschen kann. Außerdem müssen alle anderen Speicherorte bedacht werden, z.B. CRMs, sowie Subunternehmer und sonstige Dritte.

Die DSGVO wird als „Teufelszeug“ dargestellt. Gibt es auch positive Aspekte?

Einzelpersonen bekommen mit der DSGVO sehr viele Rechte und Macht darüber, wie ihre Daten gesammelt werden. Das soll Abläufe transparenter machen. Außerdem soll sichergestellt werden, dass eine Person weiß und versteht worauf sie sich einlässt, wenn sie zustimmt, dass ihre personenbezogenen Daten verarbeitet werden, und dass ihr auch die Konsequenzen bekannt sind. Die EU macht damit klar, dass personenbezogene Daten wertvoll sind und geschützt und gesichert werden müssen. Datenverarbeitung bringt Verantwortung mit sich. Unternehmen, nachweislich DSGVO-konform arbeiten, werden dabei einen Vorteil haben. Es gibt also durchaus positive Aspekte der DSGVO.

Einige dieser genannten Veränderungen haben großen Auswirkungen auf die Geschäftsprozesse von Unternehmen. Wir würden sehr gerne erfahren was Sie davon halten. Sind Sie für das Inkrafttreten der DSGVO schon gerüstet, welche Punkte sind Sie bereits angegangen und welche bereiten Ihnen Sorgen?

Dieser Beitrag ist ursprünglich im Kentico Blog erschienen und wurde von EMAKINA CEE übersetzt und gekürzt.

Leave a Comment

Start typing and press Enter to search