Die wichtigsten Punkte:
– Unternehmen müssen nachweisen, dass sie den Datenschutz ernst nehmen und entsprechende Maßnahmen zur Einhaltung der DSGVO getroffen haben.
– Gestohlene oder verschwundene Daten müssen etwa innerhalb von 72 Stunden entdeckt und gemeldet werden können. Auch die betroffenen Kunden oder Mieter müssen umgehend informiert werden. Wird ein Datenleck zu spät gemeldet, drohen Strafen.
– Die Herkunft von Daten und ihr Verwendungszweck müssen klar definiert sein. Das gilt sowohl für neu erhobene Daten als auch für bereits vorhandene. Firmen müssen also erklären können, woher sie die Daten haben und zu welchem Zweck sie ursprünglich erhoben wurden. Personenbezogene Daten dürfen ausschließlich zu diesem Zweck verwendet und müssen danach gelöscht werden. Sollen die Daten für einen anderen Zweck genutzt werden, muss die betroffene Person erneut informiert werden und einwilligen. Betroffene müssen außerdem informiert werden, auf welcher Rechtsgrundlage die Daten erhoben und verarbeitet werden und wie lange sie gespeichert werden.
– Personen bekommen ein Recht auf „Vergessenwerden“. Sie können verlangen, dass ihre personenbezogenen Daten aus Datenbanken gelöscht werden. In vielen Unternehmen ist es ein Problem, diese Daten rechtzeitig zu finden und dann zu löschen. (Personenbezogene Daten sind alle Daten, die Rückschlüsse auf eine Person zulassen, etwa Name, Telefonnummer, E-Mail-Adresse, IP-Adresse oder IBAN.)
– Mitarbeiter, die aus dem Unternehmen ausscheiden, dürfen keinen Zugriff mehr auf Unternehmensdaten haben.
– Kunden bekommen ein Recht auf Portabilität ihrer Daten zugesprochen. Sie haben einen Anspruch darauf, eine Kopie ihrer personenbezogenen Daten in einem gängigen und maschinenlesbaren Format ausgehändigt zu bekommen. Das zielt vor allem auf Unternehmen wie Google oder Facebook. Aber auch Wohnungsunternehmen können mit so einem Herausgabeanspruch konfrontiert werden, etwa wenn der Mieter umzieht.
– Mitarbeiter müssen verpflichtend im Umgang mit Daten und zum Datenschutz geschult werden.
– Unternehmen müssen umfassend und verständlich schon bei der Erhebung der Daten über die Verwendung und den Umgang mit den Daten informieren. Wie bisher dürfen Unternehmen personenbezogene Daten nur erheben, verarbeiten oder nutzen, wenn es das Gesetz ausdrücklich erlaubt oder der Betroffene einwilligt. Neu ist ein Koppelungsverbot bei der Einwilligung: Leistungen dürfen nicht mehr daran geknüpft werden, dass der Betroffene der Verarbeitung seiner Daten zustimmt. Außerdem muss die Einwilligung freiwillig und durch eine eindeutige Handlung erfolgen. Standardmäßig angehakte Kästchen, Einwilligung durch Nichtstun oder ein stillschweigendes Einverständnis sind nicht zulässig. Der Widerruf der Einwilligung muss künftig ebenso einfach sein wie die Einwilligung selber.
– Datenschutzbeauftragte und Manager haften künftig auch persönlich bei Verstößen. Bisher mussten vor allem die Datenschutzbeauftragten in Deutschland nur darauf „hinwirken“, dass im Unternehmen die Vorschriften eingehalten werden. Jetzt müssen sie die Einhaltung auch überwachen. Vorstände und Geschäftsführer haben weiterhin weitreichende Kontrollpflichten.