|
Datenschutz: Notwendige Cookie's ✓ aktiviert | Statistiken, Marketing, ... ✘ deaktiviert |
|
|
|
Die EU-Datenschutz-Grundverordnung
Die wichtigsten erweiterten Anforderungen der europäischen Datenschutz-Grundverordnung
(EU-DSGVO)!
Mit der im Mai 2016 verabschiedeten europäischen Datenschutz-Grundverordnung (EU-DSGVO) sind die bestehenden europäischen
und nationalen gesetzlichen Regelungen zum Datenschutz einheitlich novelliert.
Seit dem 25. Mai 2018 müssen alle Unternehmen und Behörden diese neuen gesetzlichen Anforderungen anwenden!
So definieren die datenschutzrechtlichen Regelungen einen europaweiten Standard für den Umgang mit personenbezogenen Daten.
Doch was müssen Unternehmen dabei beachten?
Allgemeines zur DSGVO
Nachdem die EU-Datenschutzgrundverordnung verabschiedet wurde, profitieren die Bürger der Mitgliedsstaaten der Europäischen Union (EU)
künftig von einem einheitlichen Schutzniveau. Sie sind mehr denn je vor der Speicherung und Weitergabe von Daten durch international
operierende Unternehmen geschützt. Gleichbedeutend kommen aber auch Aufgaben auf alle Unternehmen zu, um auch zukünftig datenschutzkonform
aufgestellt zu sein.
Mit Inkrafttreten der EU-DSGVO definiert Sie den Mindeststandard, wie mit der Verarbeitung personenbezogener Daten innerhalb der
EU umgegangen wird. Aufgrund einer sogenannten "Öffnungsklausel", die jedem Mitgliedstaat die Möglichkeit gibt, nationale Regelungen einzubinden, sind die Anforderungen an Unternehmen in der Bundesrepublik wesentlich höher, als in anderen europäischen Staaten. Daher ist es speziell für Unternehmen in Deutschland sehr wichtig, alle notwendigen Richtlinien einzuhalten.
Zu den wichtigsten erweiterten Anforderungen der EU-DSGVO gehören:
|
Bestimmte Meldepflichten |
|
|
Unter den Meldepflichten versteht man unter anderem, dass die Aufsichtsbehörde binnen 72 Stunden nach einem Datenschutzverstoß darüber informiert werden müssen, wenn persönlichen Daten Betroffener kompromitiert wurden und dies eine ernsthafte Bedrohung der Rechte und Freiheiten darstellt.
|
|
|
|
Recht auf Vergessenwerden |
|
|
Wenn betroffene Personen nicht möchten, dass ihre Daten weiter verarbeitet werden und es keine gesetzliche Grundlage für deren Speicherung gibt, müssen die Daten gelöscht werden.
Dieses kennt man bereits aus dem Bundesdatenschutzgesetz (BDSG). Die EU-DSGVO geht jetzt aber noch einen Schritt weiter, so dass auch Dritte, die die Daten verarbeiten, über den Löschwunsch des Betroffenen informiert werden müssen. Dabei sind im Rahmen des wirtschaftlich und technisch Machbaren, entsprechende Maßnahmen zu treffen, um auch diese Verarbeiter darüber zu informieren.
Um diese Vorgaben rechtskonform zu erfüllen ist es sehr wichtig, auch die Löschkonzepte Ihres Unternehmens genau zu analysieren – um bestehendes Datenschutzrecht einzuhalten.
|
|
|
|
Datenschutz-Folgenabschätzung |
|
|
Durch die Datenschutzgrundverordnung ist auch die Datenschutz-Folgenabschätzung eingeführt worden.
Diese ist in folgenden Fällen vorzunehmen:
- bei einer systematischen und umfassenden Bewertung persönlicher Aspekte, natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet […];
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Wichtig: Unternehmen sollten sich frühzeitig mit dieser Thematik auseinandersetzen, da bei Feststellung eines hohen Risikos eine Konsultationspflicht gegenüber den Aufsichtsbehörden besteht!
(Ist der Fall, wenn nach der DSFA keine Minimierung des Risikos möglich ist).
|
|
|
|
Erweiterte Dokumentationspflichten |
|
|
Eine lückenlose Dokumentation ist z. B. erforderlich bei
- der „Verletzungen des Schutzes personenbezogener Daten“ inklusive deren Auswirkungen und Abhilfemaßnahmen,
- dem „Verzeichnis von Verarbeitungstätigkeiten“,
- und von Nachweisen von Datenschutzmaßnahmen im Falle einer Auftragsverarbeitung
Eine regelmäßige Überprüfung vorhandener Dokumentation ist also Pflicht.
|
|
|
|
Empfindlichere Bußgelder |
|
|
Die Sanktionen für Datenschutzverstöße sind mit Einführung der EU-DSGVO drastisch erhöht worden. Waren Bußgelder in der aufsichtsbehördlichen Praxis eher die Ausnahme, werden diese jetzt wesentlich häufiger verhängt.
Im BDSG waren Bußgelder bis zu 300.000 Euro vorgesehen, bei wirtschaftlichem Vorteil in Einzelfällen auch schon mal mehr. Jetzt können Bußgelder bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes gegen Unternehmen verhängt werden. Die Berechnung des Umsatzes knüpft dabei an den Umsatz der gesamten Unternehmensgruppe, nicht nur allein an der juristischen Person, die den Datenschutzverstoß zu verantworten hat. Die konkrete Bußgeldhöhe wird von den Umständen des jeweiligen Einzelfalls abhängen und kann auch deutlich unter den Höchstgrenzen liegen.
Neu in der Gesetzgebung der EU-DSGVO sind der Direktanspruch des Betroffenen auch gegen den Auftragsverarbeiter und die Beweislastumkehr. So muss jetzt nachgewiesen werden, dass das Unternehmen alle nötigen Schritte eingeleitet hat. Dies kann zu vermehrten Beschwerden und Klagen führen. Unternehmen sollten daher, ihre datenschutzrechtlichen Prozesse gut dokumentieren, um sich gegen unbegründete Beschwerden ohne erhöhten Aufwand verteidigen zu können.
|
|
|