Lesedauer: 7 Minuten
Interview mit Karin Tresp, Funktionsbereichsleiterin Datenschutzmanagement REWE Group, zur DSGVO
„Der Beratungsbedarf wird weiter ansteigen“
DSGVO – diese Abkürzung steht für die neue EU Datenschutz-Grundverordnung und beschäftigt derzeit Verbraucher sowie Unternehmen. Wir haben bei Karin Tresp, Funktionsbereichsleiterin Datenschutzmanagement REWE Group, nachgefragt, welche Veränderungen die Verordnung für die REWE Group mit sich bringt.
Karin Tresp
Karin Tresp: Im Grunde sind natürlich alle 99 Artikel der DSGVO für uns wichtig, aber einige Punkte betreffen uns besonders. Da wäre zum einen die Erweiterung der „Betroffenenrechte“. Diese Rechte reichen von einer jederzeit möglichen Auskunft über die verarbeiteten Daten bis hin zu deren Löschung sowie dem „Recht auf Vergessenwerden“. Betroffene können hierbei sowohl unsere Kunden als auch alle Beschäftigen der REWE Group sowie ihre Geschäftspartner sein.
Weiterhin gibt es die erhöhte Informations- und Transparenzpflicht gegenüber den Betroffenen. Diesen müssen wir künftig sehr ausführlich Auskunft über Zweck, Art und Umfang der Verarbeitung geben. Und das schon in dem Moment, in dem die Daten erhoben werden, z.B. bei der Anmeldung und Nutzung einer unserer Online-Dienste für Lebensmittel oder Reisen. Auch die Einwilligung und der Widerruf der Betroffenen ist hierbei zu beachten.
„Verstöße können zu einem enormen Image-Schaden für die REWE Group führen.“
Karin Trespone: Nehmen wir ein praktisches Beispiel: Jemand registriert sich auf rewe.de für den Newsletter des REWE-Lieferservice. Dürfen die dabei erhobenen Daten im Unternehmen weiter genutzt werden?
Karin Tresp: Die Daten dürfen nur zu den Zwecken genutzt werden, die in der Einwilligung zu dem Newsletter genannt sind. Sollen die in der Registrierung zum Newsletter erhobenen Daten über den reinen Newsletter-Versand auch zu weiteren Zwecken genutzt werden – beispielsweise zum Erstellen oder Anreichern von Kundenprofilen – muss der Nutzer darüber informiert werden. Die Einwilligung muss dann diese weiteren Zwecke ausdrücklich enthalten.
„Der Bußgeldrahmen wird drastisch erhöht“
Kartin TrespKarin Tresp: Zunächst einmal wird der Bußgeldrahmen drastisch erhöht. Künftig können bis zu vier Prozent des konsolidierten Jahresumsatzes der REWE Group für den Verstoß innerhalb einer Gesellschaft herangezogen werden. Zudem bleiben unzulässige Datenverarbeitungen auch weiterhin strafbar, mit bis zu zwei oder drei Jahren Freiheitsentzug. Schließlich können nun auch Verbraucherschutz-Verbände Rechte für die betroffenen Personen geltend machen, wie etwa Ansprüche auf Löschung von Daten oder Schadensersatz.
Unabhängig von den Haftungsansprüchen der Betroffenen muss jedoch allen REWE Group Mitarbeitern bewusst sein, dass Verstöße auch zu einem enormen Image-Schaden für die REWE Group führen kann.
one: Inwieweit ist die Haftungsstreckung auf ausländische Unternehmen für die REWE Group als international agierendes Unternehmen relevant?
Karin Tresp: Die DSGVO gilt EU-weit. Das heißt, sie gilt für alle EU-Bürger – auch unabhängig davon, ob sie selbst personenbezogene Daten verarbeiten oder auch wenn Unternehmen mit Hauptsitz außerhalb der EU ihre Waren oder Dienstleistungen innerhalb der EU anbieten und im Zuge dessen ebenfalls personenbezogene Daten der EU-Bürger verarbeiten. Das bedeutet für die REWE Group, dass sich mögliche Haftungsansprüche auf alle ihre Gesellschaften erstrecken können, für welche die REWE Group je nach Beteiligungsverhältnisse oder Vertragsregelungen auch haftet.
one: Die Umsetzung einer solch umfangreichen neuen Verordnung ist für Unternehmen sicher ein großer Kraftakt. Wie hat die REWE Group das gestemmt?
Karin Tresp: Für die Umsetzung der Verordnung in der REWE Group wurde letztes Jahr ein Projekt unter der Leitung von Jochen Kosche, Bereichsleiter Unternehmenssicherheit & Zentrale Dienste und Dr. Dominik Rabe, Rechtsanwalt im Holdingbereich Recht, mit der Unterstützung von Leo Jesse, Referent Vorstandsressort F. Wiemer, gestartet. Im Rahmen dieses Projektes wurden die Grundlagen definiert, wie Vorlagen, Muster, Verfahren. Auch eine zugehörige neue Konzernrichtlinie zu dem Thema Datenschutz wurde erstellt.
Ein weiteres wichtiges Projektergebnis ist die neue Datenschutz-Organisation für die REWE Group.
Der dritte Projektabschnitt war die eigentliche Umsetzung der Verordnung. Hierzu arbeiteten die Datenschutz-Koordinatoren mit Kollegen aus den jeweiligen Fachbereichen gemeinsam unter anderem an der Überarbeitung und Ergänzung von notwendigen Dokumentationen, Anpassungen von technischen und organisatorischen Maßnahmen.
one: Wie wird die DSGVO künftig in der REWE Group verankert sein?
Karin Tresp: Am 25. Mai tritt die DSGVO in Kraft. Es ist jetzt schon absehbar, dass allein REWE Group intern der Bedarf an fachlicher und insbesondere rechtlicher Beratungs- und Umsetzungsbegleitung ansteigt, da auch die Anzahl der Projekte und der Produkte steigt. Was aber für uns in der REWE Group – aber auch für alle anderen Unternehmen – noch nicht absehbar ist: Wie viele Betroffene oder auch Journalisten, Verbraucherverbände, Anwaltskanzleien, Behörden, etc. sich dem zu bei uns melden werden. Das werden dann die ersten Wochen nach dem 25.05.2018 zeigen. Klar ist: Die neue Datenschutz-Organisation wird für diese Aufgaben gut gerüstet sein.
Karin Tresp: Für die Umsetzung der Verordnung in der REWE Group wurde letztes Jahr ein Projekt unter der Leitung von Jochen Kosche, Bereichsleiter Unternehmenssicherheit & Zentrale Dienste und Dr. Dominik Rabe, Rechtsanwalt im Holdingbereich Recht, mit der Unterstützung von Leo Jesse, Referent Vorstandsressort F. Wiemer, gestartet. Im Rahmen dieses Projektes wurden die Grundlagen definiert, wie Vorlagen, Muster, Verfahren. Auch eine zugehörige neue Konzernrichtlinie zu dem Thema Datenschutz wurde erstellt.
„Mit der DSGVO erfolgt die Umkehr der Beweislast“
Karin TrespKarin Tresp: Am 25. Mai tritt die DSGVO in Kraft. Es ist jetzt schon absehbar, dass allein REWE Group intern der Bedarf an fachlicher und insbesondere rechtlicher Beratungs- und Umsetzungsbegleitung ansteigt, da auch die Anzahl der Projekte und der Produkte steigt. Was aber für uns in der REWE Group – aber auch für alle anderen Unternehmen – noch nicht absehbar ist: Wie viele Betroffene oder auch Journalisten, Verbraucherverbände, Anwaltskanzleien, Behörden, etc. sich dem zu bei uns melden werden. Das werden dann die ersten Wochen nach dem 25.05.2018 zeigen. Klar ist: Die neue Datenschutz-Organisation wird für diese Aufgaben gut gerüstet sein.
Neue Zeitrechnung
beim Datenschutz
beim Datenschutz
Schon der Begriff ist ein Ungetüm: Datenschutz-Grundverordnung, kurz DSGVO. Und wer sich die Mühe macht, das dazugehörende Dokument näher zu betrachten, muss sich durch 88 Seiten mit 99 Artikeln wühlen.
Aber es hilft nichts: Unternehmen, die mit personenbezogenen Daten arbeiten – und das sind nahezu alle Firmen und viele Selbstständige, vom kleinen Händler, der eine Website betreibt, über Ärzte bis zum DAX-Konzern – müssen sich mit der DSGVO auseinandersetzen. Sie gilt vom 25. Mai 2018 an und sorgt für einen einheitlichen und besseren Schutz personenbezogener Daten innerhalb der EU. Antworten auf wichtige Fragen:
Warum gibt es eine gesetzliche Neuregelung?
Aktuell gibt es in den 28-EU-Mitgliedsländern sehr unterschiedliche Datenschutzbestimmungen. Künftig gelten überall dieselben Regeln. Vorbei die Zeit, in der Konzerne Tochterunternehmen in Ländern mit besonders laxen Datenschutzgesetzen gründeten und diese Bestimmungen dann für allen ihre Kunden innerhalb der EU galten. Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, sofern sie Daten von Personen aus der EU verarbeiten. Damit ist sichergestellt, dass sich auch Cloud-Dienste oder soziale Netzwerke an die Regeln halten müssen.
Was ist neu?
Für die Bürger: Sie haben mehr Rechte zu erfahren, welche Angaben über sie gespeichert sind und was mit ihren Daten passiert. Zudem können sie in vielen Fällen verlangen, dass ihre Daten (falls sie falsch sind) korrigiert oder (falls sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind) gelöscht werden.
Für Unternehmen: Sie müssen Kunden bereits bei der Erhebung ihrer Daten in einfacher und verständlicher Sprache darüber informieren, wie sie diese Angaben verarbeiten wollen. Kunden müssen dem „freiwillig, informiert und eindeutig“ zustimmen. Unternehmen müssen umfassend dokumentieren, dass sie ihrer Informationspflicht nachkommen und somit ein Recht an den gesammelten Daten besitzen.
Grundsätzlich sind die neuen Regeln in vielen Punkten deutlich weniger präzise als die Bestimmungen des deutschen Bundesdatenschutzgesetzes (BDSG).
Aktuell gibt es in den 28-EU-Mitgliedsländern sehr unterschiedliche Datenschutzbestimmungen. Künftig gelten überall dieselben Regeln. Vorbei die Zeit, in der Konzerne Tochterunternehmen in Ländern mit besonders laxen Datenschutzgesetzen gründeten und diese Bestimmungen dann für allen ihre Kunden innerhalb der EU galten. Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, sofern sie Daten von Personen aus der EU verarbeiten. Damit ist sichergestellt, dass sich auch Cloud-Dienste oder soziale Netzwerke an die Regeln halten müssen.
Was ist neu?
Für die Bürger: Sie haben mehr Rechte zu erfahren, welche Angaben über sie gespeichert sind und was mit ihren Daten passiert. Zudem können sie in vielen Fällen verlangen, dass ihre Daten (falls sie falsch sind) korrigiert oder (falls sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind) gelöscht werden.
Für Unternehmen: Sie müssen Kunden bereits bei der Erhebung ihrer Daten in einfacher und verständlicher Sprache darüber informieren, wie sie diese Angaben verarbeiten wollen. Kunden müssen dem „freiwillig, informiert und eindeutig“ zustimmen. Unternehmen müssen umfassend dokumentieren, dass sie ihrer Informationspflicht nachkommen und somit ein Recht an den gesammelten Daten besitzen.
Grundsätzlich sind die neuen Regeln in vielen Punkten deutlich weniger präzise als die Bestimmungen des deutschen Bundesdatenschutzgesetzes (BDSG).
Wer kontrolliert das?
Die Kontrolle ist Sache der Datenschutzbehörden der Länder. Einige Behörden sind dafür personell aufgestockt worden. Experten rechnen damit, dass sie künftig sehr viel genauer prüfen werden, ob Unternehmen die geltenden Datenschutzbestimmungen einhalten. Auch die Zahl der Abmahnungen könnte steigen. Bei Verstößen drohen empfindliche Strafen. In leichten Fällen reichen die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Bei schweren Verstößen kann die Aufsichtsbehörde eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des gesamten Konzerns verhängen.
Was passiert bei einer Datenschutz-Verletzung?
Bei einer Datenschutz-Verletzung, etwa einem Hackerangriff, muss das betroffene Unternehmen innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren. Auch die Betroffenen müssen unverzüglich in Kenntnis gesetzt werden. Künftig betrifft das alle personenbezogene Daten mit einer gewissen Risiko-Einstufung. Bisher müssen Unternehmen nur Verstöße melden, wenn diese besonders sensible Personendaten betreffen, wie z.B. Gesundheits- oder Kontodaten.
Wie reagieren die Verbraucher?
Nach einer aktuellen Studie des IT-Dienstleisters Veritas Technologies wollen 38 Prozent der Deutschen bereits in den nächsten sechs Monaten von ihren Auskunftsrechten Gebrauch machen. Betroffen davon seien vor allem soziale Medien, Finanzdienstleister sowie der Handel. Um Auskunft zu erbitten, reicht es oft aus, eine E-Mail an das Unternehmen zu schreiben. Aber - Achtung Datenschutz! - kann das Unternehmen weitere Daten verlangen (etwa die Postadresse), um die Identität des Absenders zweifelsfrei zu klären.
Die Kontrolle ist Sache der Datenschutzbehörden der Länder. Einige Behörden sind dafür personell aufgestockt worden. Experten rechnen damit, dass sie künftig sehr viel genauer prüfen werden, ob Unternehmen die geltenden Datenschutzbestimmungen einhalten. Auch die Zahl der Abmahnungen könnte steigen. Bei Verstößen drohen empfindliche Strafen. In leichten Fällen reichen die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Bei schweren Verstößen kann die Aufsichtsbehörde eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des gesamten Konzerns verhängen.
Was passiert bei einer Datenschutz-Verletzung?
Bei einer Datenschutz-Verletzung, etwa einem Hackerangriff, muss das betroffene Unternehmen innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren. Auch die Betroffenen müssen unverzüglich in Kenntnis gesetzt werden. Künftig betrifft das alle personenbezogene Daten mit einer gewissen Risiko-Einstufung. Bisher müssen Unternehmen nur Verstöße melden, wenn diese besonders sensible Personendaten betreffen, wie z.B. Gesundheits- oder Kontodaten.
Wie reagieren die Verbraucher?
Nach einer aktuellen Studie des IT-Dienstleisters Veritas Technologies wollen 38 Prozent der Deutschen bereits in den nächsten sechs Monaten von ihren Auskunftsrechten Gebrauch machen. Betroffen davon seien vor allem soziale Medien, Finanzdienstleister sowie der Handel. Um Auskunft zu erbitten, reicht es oft aus, eine E-Mail an das Unternehmen zu schreiben. Aber - Achtung Datenschutz! - kann das Unternehmen weitere Daten verlangen (etwa die Postadresse), um die Identität des Absenders zweifelsfrei zu klären.
Mein Kommentar
Auch interessant
