Bei der Umsetzung der Anforderungen der EU-Datenschutz-Grundverordnung sind einige Fallstricke zu beachten, die bei Verstößen schwere Sanktionen nach sich ziehen. Teil 1: Anonymisierung und Anbahnungsprozesse
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) enthält abweichende, ergänzende und neue Vorgaben zum Datenschutz, an die sich die Unternehmen ab 25.05.2018 halten müssen. Ergänzt wird die Verordnung durch ein neues nationales Bundesdatenschutzgesetz. Die Kenntnis und die richtige Umsetzung der Regelungen sind wichtig, denn die Folgen bei einer Nichtbeachtung sind drastisch. So können durch die Neuerung auch immaterielle Schäden geltend gemacht werden. Darüber hinaus drohen Bußgelder bis zu 20 Mio. € oder im Falle eines Unternehmens bis zu 4 % seines weltweiten Jahresumsatzes, je nach dem was höher ist. Bisher lag die Grenze bei 300.000 € pro Fall.
Anonymisierung von Daten
Auf bAVheute sollen daher in mehreren Teilen wichtige Regelungen vorgestellt und deren möglichen Auswirkungen gezeigt werden. Ein wichtiger Regelungsbereich ist die Anonymisierung von Daten. Wo es möglich ist, sollten Daten in einer Weise verarbeitet werden, mit der keinerlei Bezug zu einer konkreten Person herzustellen ist oder durch Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
Bei Ausschreibungen und Anbahnungen stellt dies eine Herausforderung dar. Denn der (potentielle) Kunde muss, um ein Angebot berechnen zu können, personenbezogene Daten zur Verfügung stellen. Wird aber das gemachte Angebot nicht angenommen, also die Anbahnung verloren, entfällt die Zweckbindung der Zurverfügungstellung der Daten. Diese müssen dann datenschutzkonform gelöscht werden. Denn der Betroffene hat das Recht, dass seine Daten nach Entfall der Zweckbindung oder auf seine Anforderung hin gelöscht werden. Nur vertragliche oder gesetzliche Gründe rechtfertigen das Versagen einer Löschung.
In der Praxis kommt es aber häufig vor, dass diese Daten wieder gebraucht werden, weil der Interessent gerne noch Alternativangebote hätte. Hier sollten also die Daten weiterhin zur Verfügung stehen. Gleichzeitig darf es aber aus den genannten Gründen auf keinen Fall zu einem Verstoß gegen den Datenschutz kommen.
Datensammeln verboten
Was sicher nicht geht, ist das Aufbewahren und „Sammeln“ von Ausschreibungsdaten, sodass hier ein dokumentierter, und den Anforderungen des Datenschutzes entsprechender Löschungsprozess existieren muss. Andererseits muss auch der Praxis Rechnung getragen werden, bei der einmal zur Verfügung gestellte Daten immer noch, wenn auch im Rahmen einer neuen Ausschreibung, benötigt werden.
Eventuell ließe sich das durch eine Vereinbarung datenschutzrechtlich korrekt darstellen. Und zwar in der Form, dass die für die Ausschreibung zur Verfügung gestellten Daten für eine gewisse, begrenzte Zeit nutzbar bleiben.