DSGVO

Die DSGVO soll nicht nur die Datenschutzrechte von EU-Bürgern stärken, sondern auch die behördlichen Richtlinien für internationale Unternehmen verdeutlichen. Sie ist dennoch komplex, und viele Unternehmen betrachten ihre Einhaltung als Herausforderung. Die grundlegende Idee hinter der DSGVO jedoch besagt, dass „jeder das Recht auf den Schutz der über ihn vorliegenden personenbezogenen Daten hat“ und sie war insofern schon immer ein entscheidender Faktor der bewährten Methoden in der ITAD-Branche.

Diese Verordnung richtet sich an Unternehmen mit Niederlassungen in der EU. Sie gilt jedoch auch für Niederlassungen außerhalb Europas, wenn diese

1. in Europa Produkte oder Dienstleistungen anbieten,
2. personenbezogene Daten aus Europa verarbeiten oder
3. das Verhalten von Menschen in Europa überwachen.

Von diesen drei Kategorien ist das Verarbeiten personenbezogener Daten die unüberschaubarste. Die Definition personenbezogener Daten wird im Rahmen dieser Anforderungen ebenso erweitert, wie die Rechte der jeweiligen Personen. Die DSGVO definiert personenbezogene Daten als beliebige Form identifizierbarer Informationen. Dies kann grundlegende Details wie z. B. Name, E-Mail-Adresse oder Telefonnummer ebenso umfassen, wie weitere Elemente, darunter Standort, Geschlecht, Alter und IP-Adresse. Selbst wenn Sie über Daten verfügen, die nicht direkt mit einer Identität verknüpft sind, können diese im Rahmen der DSGVO als „personenbezogene Daten“ gelten. Zudem erfordern vertrauliche Kategorien wie z. B. Gesundheitsdaten einen besonderen Umgang.

Die rechtlichen und finanziellen Auswirkungen des Gesetzes sind enorm. Die Konsequenzen einer Nichteinhaltung sind verheerend, denn die Strafen können sich auf bis zu € 20.000.000 oder vier Prozent des globalen Umsatzes belaufen – ganz zu schweigen vom Risiko von Sammelklagen der Opfer von Datenschutzverstößen. Wer gegen die DSGVO verstößt, sieht sich zudem einer Geschäftsunterbrechung und Rufschädigung ausgesetzt.

Unabhängig von der Größe müssen alle Unternehmen einen Datenschutzbeauftragten (DSB) benennen, der die Einhaltung der Bestimmungen überwacht. Bei dieser Person kann es sich um einen Mitarbeiter oder einen Drittanbieter „mit Fachkenntnissen über die Datenschutzgesetze und -verfahren“ handeln (wobei die Mitgliedsstaaten über die Möglichkeit verfügen, strengere Kriterien umzusetzen). Der DSB ist für Mitarbeiterschulungen und interne Prüfungen zuständig. Außerdem muss er die Aufsichtsbehörden ggf. von einem Datenschutzverstoß in Kenntnis setzen. Diese Meldungen müssen unabhängig davon, ob der Verstoß auf einem Versehen oder auf Fahrlässigkeit beruht, „ohne schuldhaftes Verzögern“ und innerhalb von 72 Stunden nach dessen Feststellung erfolgen. In einigen Fällen muss der DSB auch die vom Datenschutzverstoß betroffenen Personen informieren.

Seit der „Brexit“-Entscheidung im Juni wurde in Großbritannien viel darüber diskutiert, inwieweit sich die Übernahme der DSGVO auswirken wird. Derzeit plant die Regierung die DSGVO zu übernehmen, da sie in Kraft treten wird, bevor Großbritannien die EU verlässt. Es liegen keine Pläne für Änderungen an der Verordnung vor, wobei dies langfristig nicht ausgeschlossen werden kann.

Das größte Risiko für die Nichteinhaltung sind die beträchtlichen Strafen. Die Strafe für Gesetzesverstöße kann bis zu vier Prozent des Jahresgewinns des Unternehmens ausmachen. Zu den weiteren Risiken zählen

• von den Datenschutzbehörden verhängte verbindliche Anpassungen der Meldepflicht,
• Rufschädigung und
• Vertrauensverlust bei Partnern und Kunden.

Die Risiken sind erheblich. Daher wird dieser neuen Verordnung so viel Beachtung geschenkt. Die beste Möglichkeit, sich gegen Verstöße zu wappnen, besteht selbst bei Nichteinhaltung darin, nachzuweisen, dass Sie über ein Verfahren verfügen und vorbeugende Maßnahmen treffen. In Bezug auf ITAD können Sie die entsprechende Richtlinie aktualisieren (oder erstellen), um diese Maßnahmen zu integrieren und zu dokumentieren, dass Sie über Verfahren verfügen.