Gleich bleibt die Haftung der Inhaber/Geschäftsführer/Vorstände für Verstöße gegen den Datenschutz. Diese Haftung ist, wie auch bereits jetzt, nicht übertragbar.

Dramatisch ändern wird sich die Höhe möglicher Bußgelder.

Wurden bisher Bußgelder in der Regel eher spärlich, und von Einzelfällen abgesehen, in moderaten Höhen (einige Hundert bis einige Tausend Euro) verhängt, so ist jetzt mit einem deutlichen Anstieg der Kontrollen und daraus resultierend der Verfahren zu rechnen. Bußgelder können nun bis zu einer Höhe von 20 Mio € oder 4% des weltweit erzielten Umsatzes des Vorjahres verhängt werden (der jeweils höhere Wert wird angesetzt).

Neu in der DSGVO (Art. 83 Abs. 1) ist die Regelung, dass ein verhängtes Bußgeld "... in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist".

Damit ist die DSGVO eines der wenigen Gesetze (wenn nicht sogar das Einzige), in dem geregelt ist, dass eine Strafe abschreckend wirkend soll.

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten, sowie der freie Verkehr personenbezogener Daten.

Die vorangestellten Ziele sollen durch die Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Die Datenschutz-Grundverordnung wälzt das Europäische Datenschutzrecht nicht völlig um, weist aber eine Reihe von erheblichen Änderungen in der täglichen Anwendung auf. Es gelten in allen EU-Staaten die gleichen Standards in Sachen Datenschutz. Datenschutzrechtliche „Rückzugsräume“ innerhalb Europas gibt es damit nicht mehr.

Welche Rechte hat der Betroffene einer Datenverarbeitung?

• Informationsrecht
• Auskunfts- und Widerspruchsrecht
• Recht auf Berichtigung, Löschung und Einschränkung
• Recht auf Datenübertragbarkeit

Betroffene haben leichteren Zugang zu ihren Daten. Jeder hat damit das Recht, zu erfahren, welche Daten über ihn gesammelt werden. Zudem hat der Betroffene Anspruch auf klare und leicht verständliche Informationen darüber, wer seine Daten zu welchem Zweck wie und wo verarbeitet.

Betroffene müssen noch ausführlicher darüber informiert werden, wenn Daten unerlaubt verändert wurden oder abhanden gekommen sind. Damit ist es dem Betroffenen früher möglich, Maßnahmen zu seinem Schutz einzuleiten.

Ihre personenbezogene Daten gehören Ihnen, nicht dem mit der Datenverarbeitung befassten Internetdienst. Mit der DSGVO hat der Betroffene das Recht, Daten einfach von einem Internetanbieter zum anderen mitzunehmen.

Gestärkt wird das Recht auf Vergessen. Es ist leichter, einmal veröffentlichte Informationen löschen zu lassen.

Die Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz der Betroffenen, als die vorher gültigen Regelungen des alten Bundesdatenschutzgesetzes.

Die Pflicht, Datenschutzverletzungen an die Aufsichtsbehörden zu melden, ist verschärft.

Wird eine solche Verletzung erkannt, muss diese unverzüglich (innerhalb von 72 Stunden) der zuständigen Aufsichtsbehörde gemeldet werden. Stellt die Datenschutzverletzung voraussichtlich ein hohes Risiko dar (dies ist auf jeden Fall zutreffend, wenn Gesundheits- oder Bank-/Kreditkartendaten betroffen sind), ist zusätzlich auch der Betroffene durch das Unternehmen zu informieren.

Das Unterlassen der Meldung an die Aufschichtsbehörde und/oder den Betroffenen stellt einen mit Bußgeld belegten Verstoß gegen die DSGVO dar.

Dabei ermittelt das Unternehmen mögliche Auswirkungen der Verarbeitung auf den Schutz der personenbezogenen Daten. Eine Folgenabschätzung ist immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht.

Praktisch jedes Unternehmen ist mit der DSGVO verpflichtet, ein sogenanntes "Verzeichnis von Verarbeitungstätigkeiten" nach genauen Vorgaben der DSGVO zu führen.

Im Gegensatz zum bisherigen Verfahrensverzeichnis ist kein öffentlicher Teil zu führen. Das Verzeichnis kann auch auschließlich elektronisch geführt werden und muss auf Anfrage der Aufsichtsbehörden vorgelegt werden.

Verstöße gegen die Pflich zur Führung des Verzeichnisses werden mit Bußgeld (bis zu 10 Mio €) geahndet.

Aus der im BDSG verankerten "Auftragsdatenverarbeitung" wird in der DSGVO die "Auftragsverarbeitung".

Der Auftraggeber ist auch weiterhin Verantwortlicher im Sinne der DSGVO. Die inhaltlichen Anforderungen an die zu schließende Vereinbarung und eine gemeinsame Haftung von Auftraggeber und Auftragnehmer ist eine mit der DSGVO eingeführte Neuerung.

Die Einbindung von Subunternehmern, die bisher problemlos und ohne Formalitäten möglich war, ist in der DSGVO formalisiert geregelt. Die Haftung erstreckt sich auch auf Subunternehmer.

Technisch- Organisatorische Maßnahmen (TOM) sind bereits aus dem früheren BDSG bekannt. Die DSGVO gibt TOM aber eine wesentlich größere Bedeutung und verlangt eine ständige Anpassung an Technik und Risiko.

TOM sind, unter Berücksichtigung der Kosten und Aufwände, so zu implementieren, dass:

• ein dem Risiko angemessenes Schutzniveau erreicht wird
• der aktuelle Stand der Technik umgesetzt wird
• der Art, Umfang, Umstände und Zweck der Datenverarbeitung Rechnung getragen wird
• die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Betroffenen berücksichtigt wird

TOM sind nun auch im Kontext der Auftragsverarbeitung zu erfüllen.