DSGVO – ab heute wird's ernst
Ab heute gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Sie ist damit für alle Unternehmen bindend, die sowohl im B2B- als auch im B2C-Bereich personenbezogene Daten verarbeiten. Darunter fallen folgerichtig auch Augenoptikfachgeschäfte, Industrieunternehmen der Branche und Dienstleister. Wer also Namen, Alter, Postanschrift, Refraktionswerte und ähnliches von seinen Kunden kennt, der muss handeln.
Ziel der Verordnung ist es, die 28 unterschiedlichen Regelungen in den EU-Mitgliedsstaaten zu vereinheitlichen. Die EU-Kommission will damit den Schutz privater Daten verbessern und die Voraussetzungen für alle datenverarbeitenden Unternehmen vereinheitlichen. Wer sich nicht daran hält, riskiert hohe Strafen.
Neu an dem Regelwerk sind die umfangreicheren Informationspflichten desjenigen, der die Daten verarbeitet, gegenüber dem Verbraucher, die umfassenderen Rechte der Betroffenen und die Rechenschaftspflicht des datenverarbeitenden Unternehmens.
Konsequenzen für Unternehmen
Konkret bedeutet dieses: Für jede Datennutzung, die nicht durch die gesetzlichen Vorgaben erlaubt ist, müssen Handwerksbetriebe die Zustimmung der Verbraucher einholen. Die Einwilligungserklärung muss nicht zwingend schriftlich vorliegen. Mit Blick auf die umfassendere Nachweispflicht der Betriebe, könnte sich das aber als sinnvoll erweisen und mehr Rechtssicherheit mit sich bringen.
Datenverarbeitende Betriebe müssen die Verbraucher auf Wunsch darüber informieren, welche personenbezogene Daten von ihnen gespeichert sind und verarbeitet werden. Werden Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben, muss die Person darüber informiert werden. Außerdem hat jeder Verbraucher ein Recht darauf, dass die von ihm erhobenen Daten auf Verlangen verändert oder auch gelöscht werden. Zudem haben Verbraucher bei Anbieter-Wechsel das Recht, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.
Betriebe der genannten Kategorie sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren und dieses auf Nachfrage gegenüber der Behörde zu belegen.
Derzeit in Planung befindet sich die sogenannte ePrivacy-Verordnung der EU. Diese soll dann bei Inkrafttreten den Online-Bereich regeln.