Zum Inhalt springen

Die Datenschutz Grundverordnung (Verordnung (EU) 2016/679)

Die DSGVO löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union und wird ab dem 25. Mai 2018 angewendet. Sie schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien (Verbot mit Erlaubnisvorbehalt, Datenvermeidung, Datensparsamkeit, Zweckbindung und Transparenz) fort und entwickelt diese weiter. Zusätzlich wurde als weiteres zentrales Prinzip die Gewährleistung von Datensicherheit unter Berücksichtigung des aktuellen Standes der Technik eingeführt.

Hier geht es zur DSGVO (öffnet ein neues Fenster)

Hier erfahren Sie die wichtigsten Fakten:

 

Gleich bleibt die Haftung der Inhaber/Geschäftsführer/Vorstände für Verstöße gegen den Datenschutz. Diese Haftung ist, wie auch bereits jetzt, nicht übertragbar.

Dramatisch ändern wird sich die Höhe möglicher Bußgelder.

Werden jetzt Bußgelder in der Regel eher spärlich, und von Einzelfällen abgesehen, in moderaten Höhen (einige Hundert bis einige Tausend Euro) verhängt, so ist nach dem 25.05.2018 mit einem deutlichen Anstieg der Kontrollen und daraus resultierend der Verfahren zu rechnen. Bußgelder können dann bis zu einer Höhe von 20 Mio € oder 4% des weltweit erzielten Umsatzes des Vorjahres verhängt werden (der jeweils höhere Wert wird angesetzt).

Neu in der DSGVO (Art. 83 Abs. 1) ist die Regelung, dass ein verhängtes Bußgeld "... in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist".

Damit ist die DSGVO eines der wenigen Gesetze (wenn nicht sogar das Einzige), in dem geregelt ist, dass eine Strafe abschreckend wirkend soll.

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten, sowie der freie Verkehr personenbezogener Daten.

Die vorangestellten Ziele sollen durch die Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Die Datenschutz-Grundverordnung wird das Europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von erheblichen Änderungen in der täglichen Anwendung auf. Künftig gelten in allen EU-Staaten die gleichen Standards in Sachen Datenschutz. Datenschutzrechtliche „Rückzugsräume“ innerhalb Europas wird es damit nicht mehr geben.

Welche Rechte hat der Betroffene einer Datenverarbeitung?

  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Datenübertragbarkeit

Künftig werden Betroffene leichteren Zugang zu ihren Daten haben. Jeder hat damit das Recht, zu erfahren, welche Daten über ihn gesammelt werden. Zudem wird der Betroffene Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten zu welchem Zweck wie und wo verarbeitet.

Betroffene müssen künftig noch ausführlicher darüber informiert werden, wenn Daten unerlaubt verändert wurden oder abhanden gekommen sind. Damit ist es dem Betroffenen noch früher möglich, Maßnahmen zu seinem Schutz einzuleiten.

Ihre personenbezogene Daten gehören Ihnen, nicht dem mit der Datenverarbeitung befassten Internetdienst. Mit der neuen DSGVO wird der Betroffene das Recht haben, Daten einfach von einem Internetanbieter zum anderen mitzunehmen.

Gestärkt wird das Recht auf Vergessen. Es wird leichter werden, einmal veröffentlichte Informationen löschen zu lassen.

Die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz der Betroffenen, als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.

Die Pflicht, Datenschutzverletzungen an die Aufsichtsbehörden zu melden, wird verschärft.

Wird eine solche Verletzung erkannt, muss diese unverzüglich (innerhalb von 72 Stunden) der zuständigen Aufsichtsbehörde gemeldet werden. Stellt die Datenschutzverletzung voraussichtlich ein hohes Risiko dar (dies ist auf jeden Fall zutreffend, wenn Gesundheits- oder Bank-/Kreditkartendaten betroffen sind), ist zusätzlich auch der Betroffene durch das Unternehmen zu informieren.

Das Unterlassen der Meldung an die Aufschichtsbehörde und/oder den Betroffenen stellt einen mit Bußgeld belegten Verstoß gegen die DSGVO dar.

Dabei ermittelt das Unternehmen mögliche Auswirkungen der Verarbeitung auf den Schutz der personenbezogenen Daten. Eine Folgenabschätzung ist immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht.

Praktisch jedes Unternehmen ist mit der DSGVO verpflichtet, ein sogenanntes "Verzeichnis von Verarbeitungstätigkeiten" nach genauen Vorgaben der DSGVO zu führen.

Im Gegensatz zum bisherigen Verfahrensverzeichnis ist kein öffentlicher Teil zu führen. Das Verzeichnis kann auch auschließlich elektronisch geführt werden und muss auf Anfrage der Aufsichtsbehörden vorgelegt werden.

Verstöße gegen die Pflich zur Führung des Verzeichnisses werden mit Bußgeld (bis zu 10 Mio €) geahndet.

Aus der im BDSG verankerten "Auftragsdatenverarbeitung" wird in der DSGVO die "Auftragsverarbeitung".

Wie auch bisher, ist der Auftraggeber auch weiterhin Verantwortlicher im Sinne des BDSG/DSGVO. Neu sind die erweiterten inhaltlichen Anforderungen an die zu schließende Vereinbarung und eine gemeinsame Haftung von Auftraggeber und Auftragnehmer.

Die Einbindung von Subunternehmern, die bisher problemlos und ohne Formalitäten möglich war, ist in der DSGVO formalisiert geregelt. Die Haftung erstreckt sich auch auf Subunternehmer.

Daraus ergibt sich ein zwingender Überprüfungsbedarf der Maßnahmen zum Datenschutz des Auftraggebers beim Auftragnehmer.

Technisch- Organisatorische Maßnahmen (TOM) sind bereits aus dem BDSG bekannt. Die DSGVO gibt TOM aber eine wesentlich größere Bedeutung und verlangt eine ständige Anpassung an Technik und Risiko.

TOM sind, unter Berücksichtigung der Kosten und Aufwände, so zu implementieren, dass:

  • ein dem Risiko angemessenes Schutzniveau erreicht wird
  • der aktuelle Stand der Technik umgesetzt wird
  • der Art, Umfang, Umstände und Zweck der Datenverarbeitung Rechnung getragen wird
  • die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Betroffenen berücksichtigt wird

Neu ist, dass TOM auch im Kontext der Auftragsverarbeitung zu erfüllen sind.

Fazit

 

Die Umsetzungsfrist bis 25.05.2018 erscheint zunächst als ausreichender Zeitraum. Betrachtet man aber die neu eingeführten Betroffenenrechte, die technischen Vorkehrungen und die notwendige Überprüfung bestehender Verträge, wird schnell klar, dass eine Umsetzung keinen Aufschub duldet.

Vereinbaren Sie ein
unverbindliches Informationsgespräch

 

Datenschutz und IT-Sicherheit sind
Vertrauenssache