Neues Datenschutzrecht DS-GVO ab 25.05.2018

Das EU-Parlament hat bereits im April 2016 die neue DSGVO verabschiedet, die zum 25.05.2018 in Kraft tritt.

Diese hat Gesetzescharakter und wird in einigen Punkten durch das BDSG-neu ergänzt, welches ebenso zum 25.05.2018 Gültigkeit erlangt. Dadurch werden die bestehenden Datenschutzgesetze innerhalb der EU harmonisiert, in einigen Punkten konkretisiert und teilweise verschärft. Für besondere Aufmerksamkeit sorgen darüber hinaus die wesentlich verschärften Bußgelder von bis zu vier Prozent des Jahresumsatzes eines Unternehmens. Es ist nun also in der Praxis erforderlich die Regelungen des neuen DS-GVO anstelle des bisherigen BDSG zu prüfen.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. bietet hierzu eine Übersicht der DS-GVO und des DSAnpUG-EU; ebenso hervorragende Praxishilfen: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Die DSGVO und das BDSG-neu finden Anwendung auf den Datenschutz von Personen – also nicht von Unternehmen. Dennoch verarbeiten Sie in Ihren Systemen eine Vielzahl an personenbezogenen Daten Reverse Phone Lookup , sei es von Kunden, Lieferanten oder Mitarbeitern. Personenbezogene Daten sind solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO). Die Speicherung und Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, der Dateninhaber stimmt ausdrücklich zu oder Sie können ein berechtigtes Interesse nachweisen. Dies trifft insbesondere für Daten zu, die Sie zum Beispiel zur Abwicklung der Geschäftsbeziehung benötigen.

Die Wesentlichen Neuerungen möchte ich hier kurz anschneiden:

1. Die DS-GVO verwendet den Begriff „Verantwortlicher“. Verantwortlicher ist hier also die juristische oder natürliche Person die alleine oder gemeinsam mit anderen über Zwecke und Mittel der personenbezogenen Daten entscheidet. (Art. 4 Nr. 7 DS-GVO)

2. Wie beim bisherigen BDSG auch, muss nach wie vor die Rechtfertigung der Datenerhebung dokumentiert werden.

3. Laut Art. 5 Abs.2 und Art. 24 Abs. 1 DS-GVO ist der Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten rechenschaftspflichtig. Hier muss die Einhaltung dieser Grundsätze nachgewiesen werden. D.h. folglich, dass Unternehmen jederzeit in der Lage sein müssen den Nachweis über die Einhaltung der technisch-organisatorischen Anforderungen und Datenschutzgrundsätze erbringen zu können. Die Beweislastumkehr bedeutet, dass künftig nicht mehr die Aufsichtsbehörde den Nachweis führen muss, sondern die Unternehmen müssen sich entlasten. Hier ist eine stichhaltige Dokumentation unbedingt erforderlich. Um diese Dokumentation gut vorzubereiten, sollten zuerst die bestehenden Datenschutzstrukturen im Unternehmen ermittelt werden und eine Inventarisierung der personenbezogenen Daten durchgeführt werden. Verarbeitungsprozesse müssen unter die Lupe genommen und ebenfalls dokumentiert werden.

4. Die Verantwortlichen sind künftig dazu verpflichtet ein schriftliches oder elektronisches Verfahrensverzeichnis aller Verarbeitungstätigkeiten im Unternehmen zu führen. (Art.30 Abs.4 DS-GVO)Die Beschreibungen in diesem Verzeichnis sind so detailiert zu halten, dass sie der Aufsichtsbehörde eine Beurteilung erlauben.

5. Wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der natürlichen Person zur Folge hat, besteht künftig die Pflicht zur Datenschutz-Folgeabschätzung. (Art.35 Abs.1 DS-GVO)

6. Privacy by design, privacy by default: IT in Unternehmen muss so umgesetzt sein, dass die Grundsätze der DS-GVO wirksam umgesetzt werden können. (Art.25 DS-GVO) Hier ist Pseudonymisierung ein gutes Mittel beabsichtigten Personenschutz. Es muss ein angemessenes Schutzniveau sichergestellt werden. (Art. 32 Abs.2 DS-GVO)

7. Betroffene haben künftig erweiterte Rechte nach Art.12 ff DS-GVO:

Recht auf Information in präziser, transparenter, leicht verständlicher und zugänglicher Form und Sprache. Der Verantwortliche muss auf Anträge zur Auskunft innerhalb eines Monats reagieren.

Recht auf weitergehende Auskunf (Zweck, Kategorie, Empfänger, Dauer der Speicherung, Berichtigung, Löschung, Beschwerderecht bei der Aufsichtsbehörde, Herkunft der Daten).

Recht auf Erhalt einer kostenlosen Kopie aller verarbeiteten Daten.

8. Künftig muss bei einem Verstoss zwingend ein Bussgeld festgesetzt werden. Für die Aufsichtsbehörden gibt es keinen Ermessensbereich mehr. Das Bussgeld kann bis zu 4% des weltweit erzielten Umsatzes des jeweils vergangenen Wirtschaftsjahres oder alternativ bis zu 20 Milionen Euro betragen.

9. Ein Datenschutzbeauftragter ist zu bestellen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

10. Ein Datentransfer aus der EU an ein Drittland oder an eine internationale Organisation darf nur dann erfolgen, wenn: von der Aufsichtsbehörde genehmigte Binding Corporate-Rules verwendet werden puttygen , eine genehmigte europäische Zertifizierung beim Empfänger der Daten vorliegt.

Quellen:

GDD – Gesellschaft für Datenschutz und Datensicherheit e.V. , Agenda-Software, NWB Steuer- und Wirtschaftsrecht Ausgabe 31