DSGVO – rechtskonformes Management von Identitätsdaten

7 Juni 2018

DSGVO-konform: Was sollen Ihre Systeme nun leisten?

Wie Sie Ihre Online-Daten schützen, speichern und nach der neuen Datenschutz-Grundverordnung (DSGVO) verwenden.

Für viele Firmen ist es ein Wettlauf mit der Zeit, denn die DSGVO kommt in großen Schritten. Nach dem Startdatum Ende Mai können Organisationen, sei es ein großes Unternehmen oder ein kleiner Verein, die Zeit nicht mehr zurückdrehen. Alle sind dazu verpflichtet sich an strenge Vorgaben zu halten, wenn sie Kunden- oder Mitgliederdaten zu Verarbeitungszwecken speichern wollen. Unabhängig von dem Sitz der Organisation geht es um alle Daten von EU-Bürgern und von Personen, die sich in der EU aufhalten. Genauso gelten die neuen Regelungen auch für Non-Profit-Organisationen und Soziale Netzwerke. Genau genommen ist die Regelung schon vor 2 Jahren in Kraft getreten. Nach der 2-jährigen Übergangsfrist wird das neue Gesetz am 25. Mai 2018 angewendet. Organisationen können dann bei Verstößen angeklagt und verurteilt werden.

Das Gesetz enthält neue Festlegungen zu Privatsphäre von Nutzern und Sicherheitsregeln für Daten. Dazu sind viele Unternehmen verpflichtet, die Nutzungsbedingungen für ihre Internetportale anzupassen. Bei Verstößen können bis zu vier Prozent des Jahresumsatzes fällig werden, was schnell Millionensummen für große Konzernen bedeutet.

Daher ist es ratsam neben den prozessualen Anpassungen, auch ein entsprechendes technisches System zum Management der Daten bereitzustellen. Dies soll die neuen Anforderungen erfüllen ohne großen Eigenaufwand betreiben zu müssen. Und möglichst effizient und automatisiert arbeiten.

 

Neue Anforderungen – was DSGVO-Konformität systemseitig bedeutet.

Bis heute konnten Unternehmen personenbezogene Daten speichern und einsetzen, wie sie diese gebraucht haben oder verwenden wollten. Nun hat sich die Lage genau anders herumgedreht. Und nicht nur das – dieser Punkt wurde verschärft: solche Daten dürfen nur noch gespeichert und verarbeitet werden, wenn sie einem bestimmten, legitimierten Zweck dienen. Diesem Zweck muss der Besitzer der Daten zustimmen und er kann darüber verfügen, wofür sie genutzt werden und wie lange. Eigentlich ist die Speicherung personenbezogener Daten sogar verboten und nur wenn der Dateneigner eine Erlaubnis erteilt hat, ist der Umgang mit den Daten erlaubt.

 

Aller Anfang ist die Registrierung

Das Ganze beginnt bei der Registrierung. Ein Anmelder konnte sich nur registrieren, wenn er alle Daten angab, die das Unternehmen anforderte. Mit der neuen Verordnung ist es so, dass ein Anmelder die Speicherung seiner Daten während des Registrierungsprozesses genehmigen muss. Das stellt auch sicher, dass nur die Daten erhoben werden, die wirklich notwendig sind und zielgerichtet zur weiteren Verarbeitung ins System eingespeist werden. Zusammenfassend kann man sagen, dass die Datenerfassung und -haltung immer einem legitimierten Zweck dienen muss. Die Erläuterung dazu kann über eine Datenschutzerklärung gegeben werden, die der Nutzer akzeptieren muss, bevor er mit der Registrierung fortfährt.

Einmal registriert, wird der Kunde oder das Vereinsmitglied zum Nutzer eines Portals bzw. eines Angebotes. Dazu gibt es gespeicherte Profildaten, die den Benutzer identifizieren. Neu ist, dass der Nutzer auf alle seine Daten nicht nur zugreifen, sondern auch über sie verfügen kann. Das heißt also auch, wenn er möchte, kann er die Löschung seiner gesamten Daten veranlassen. Und nicht nur das: ein Nutzer soll auch einzelne Freigaben zur Verarbeitung seiner Daten erteilen können.

Ein Unternehmen, das Nutzerdaten speichert ist durch die neue Verordnung zusätzlich dazu verpflichtet, dem Nutzer Auskünfte zu erteilen. Und zwar Auskünfte über die Rechtsgrundlage, aufgrund dessen das Unternehmen die Daten speichert und verarbeitet. Und wie lange es diese Daten zu dem bestimmten Zweck speichern wird. Falls die Daten für einen anderen Zweck eingesetzt werden, muss der Nutzer auch dazu seine Zustimmung geben.

 

Die Portabilitätsverpflichtung und das Recht auf Vergessenwerden

Nutzerdaten sollen übertragbar sein. Z.B. soll der erste Anbieter diese zum nächsten Anbieter übertragen, wenn es der Kunde verlangt und er einen Vertragswechsel vornimmt. Zur Überprüfung soll ein Nutzer seine gesamten Daten nicht nur einsehen, sondern über diese auch in einem „portablen“ Format verfügen können.

Kunden, die einen Vertrag kündigen oder Nutzer, die sich von einem Portal abmelden möchten, haben dazu mit der neuen Gesetzgebung erweiterte Rechte. Wie schon in der deutschen Datenschutzverordnung verankert, können Sie die Speicherung ihrer Daten für Direktmarketingzwecke verbieten. Dann wirken sie einer Nutzerprofilerstellung für Werbevorhaben entgegen.

 

Dokumentationspflichten und Haftung

Zur Überprüfung sind Unternehmen verpflichtet die Speicherung und Verarbeitung der Nutzerdaten sowie etwaige Datenpannen sorgfältig zu dokumentieren. Auch Dritte, die nur an der Datenverarbeitung beteiligt sind (z.B. sog. Service Provider), müssen diese so dokumentieren, dass die Prozesse erkennbar und nachvollziehbar sind. Der Verantwortliche der Datenverarbeitung und alle an der Verarbeitung der Daten Beteiligten können haftbar gemacht werden, wenn mit den Daten geschlampt wird und nicht DS-GVO-konform vorgegangen wird.

Die neue Regelung räumt Nutzern mehr Identitätsrechte ein. Sie verpflichtet Organisationen zu einem Umgang mit den Nutzerdaten zum Vorteil des Nutzers und nicht mehr zum Vorteil der Organisation. Hier stellt sich die Frage, wie man das alles technisch realisieren kann. Und das ohne sich darin zu verlieren oder einen enormen Aufwand zu betreiben.