Broschuere

Broschuere

Wichtige Management Information

Die EU-Datenschutz-Grundverordnung

Die EU-DSGVO gilt ab Mai 2018 und soll das Datenschutzniveau innerhalb der EU angleichen und die Rechte der Betroffenen stärker schützen.
Sie führt zu weitreichenden Änderungen im Datenschutz, weshalb sich Unternehmen mit den Neuregelungen und deren Implementierung auseinandersetzen ssen. Sowohl für Unternehmen als auch für Betroffene gibt es daher zahlreiche Änderungen durch die EU-DSGVO:

Wer muss die DSGVO beachten

Die DS-GVO gilt für jede Person oder Organisation, die personenbezogene Daten elektronisch oder nicht automatisiert in einer strukturierten Ablage verarbeitet. Ausgenommen sind nur Verarbeitungen im Rahmen persönlicher oder familiärer Tätigkeiten und einige staatliche Aktivitäten. Betroffen von der DS-GVO sind folglich

  • Unternehmen,

  • Vereine,

  • Verbände,

  • Parteien,

  • Stiftungen,

  • Körperschaften des öffentlichen Rechts und Einrichtungen des Bundes, der Länder und Kommunen.

Die Vorschriften der DS-GVO sind von einem Ein-Personen-Unternehmen genauso einzuhalten wie von einem Konzern.

Der „Verantwortliche“ für den Datenschutz

Der nunmehr als der Verantwortliche bezeichnet wird (Art. 4 Nr. 7), ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, wobei z.B. innerhalb eines Unternehmensverbunds auch mehrere als gemeinsam Verantwortliche kooperieren können (Art. 26).
Also Sie, der Chef bzw. die Geschäftsleitung des Unternehmens.

Sanktionen und Rechtsbehelfe

Der Gesetzgeber stellt mit den weitreichenden Änderungen durch die EU-DSGVO und das neue BDSG hohe Anforderungen an betroffene Unternehmen: Sie müssen ihre Prozesse bis zum Mai.2018 an die neuen Regelungen anpassen. Denn bei Datenschutzverstößen müssen Unternehmen mit hohen Bußgeldern (20 Mio. bzw 4% vom Weltjahresumsatz), Imageschäden sowie weitere Haftungsrisiken rechnen.

z.B.: Eine nicht vorhandene Dokumentation, Notfallkonzept, IT-Sicherheitskonzept oder eine fehlende Übersicht der Verarbeitungen sind die am höchsten sanktionierten Verstöße!

Die wichtigsten Neuerungen für die Rechte der Betroffenen

Betroffene, und Partner, erhalten durch die Novellierung des Datenschutzrechtes, Betroffenenrechte in nie zuvor gekanntem Ausmaß.

Neben den massiven Änderungen und Neugerungen, gehören die Beweislastumkehrung zu Ungunsten der Unternehmen und Organisationen, die extrem umfangreichen Dokumentations- und Informationspflichten und die neue Auslegung der Verhältnismäßigkeit von Datenspeicherung zu den schwerwiegendsten Veränderungen.

Personen, deren Daten verarbeitet werden, werden insoweit stärker geschützt, als dass diese mehr Kontrolle über ihre Daten erhalten. Zu den Neuerungen gehören u.a.:

- Das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“
- die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten
- das Recht auf Berichtigung, Löschung sowie das Vergessen werden
- den einfacheren Zugang zu ihren Daten
- die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den Anderen

Die wichtigsten Änderungen für Unternehmen

Die deutschen Aufsichtsbehörden in einer Arbeitsgruppe auf Vorlagen zu Verzeichnissen nach Art. 30 DS-GVO verständigt. Diese Vorlagen umfassen sowohl eine Variante für das Verzeichnis des Verantwortlichen nach Art. 30 Abs. 1 wie auch des Auftragsverarbeiters nach Abs. 2. Gerade für kleinere Unternehmen bieten diese Hinweise eine praxisnahe Orientierung, insbesondere bei der Darstellung der technischen und organisatorischen Maßnahmen.
Einige Textteile enthalten auch Hinweise für den öffentlichen Bereich. Die Verzeichnisse nach Art. 30 können manuell oder softwareunterstützt erstellt werden und sind auf Anforderung der Aufsichtsbehörde vorzulegen. Daneben können sie als Basis für die Dokumentation herangezogen werden.
Mit den Mustern helfen die Aufsichtsbehörden etwas mehr Sicherheit in die Interpretation der Anforderungen zu bringen.

- Unternehmen, die mit personenbezogenen Daten arbeiten, müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben

- das Angebot der Unternehmen soll möglichst datensparsam konzipiert werden und es sollen nur Daten erhoben werden die zur Erbringung des Dienstes benötigt werden

- das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen die dem Risiko der Datenverarbeitungsvorgänge entsprechen (Risiko-Analyse der Verarbeitungen)

- die Unternehmen treffen zukünftig weitergehende Meldepflichten bei Datenschutzverstößen

- bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen

- weitreichende Dokumentationspflichten der Verarbeitungen und Prozesse nach Art.30 DS-GVO

- Datenschutzfolgeabschätzung - Birgt die automatisierte Datenverarbeitung möglicherweise Risiken für die Rechte von Betroffenen, dann schreibt das § 4d Abs. 5 BDSG die Durchführung einer sog. Vorabkontrolle vor

- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen vermutlich besser bekannt als „Privacy by design“ und „Privacy by default

Da die EU-Datenschutzgrundverordnung jedoch nicht alle bisherigen Regelungen aus dem Bundesdatenschutzgesetz (BDSG) betrifft und zudem weitreichende Öffnungsklauseln enthält, müssen sich Unternehmen zusätzlich mit den Anforderungen des künftigen, „neuen“ Bundesdatenschutzgesetzes befassen.

Dazu zählen u.a. :

  • Allgemeiner Teil: Anwendungsbereich, Regelungen zum Datenschutzbeauftragten

  • Rechtsgrundlagen für die Verarbeitung: Allgemeine und besondere Verarbeitungssituationen, die Verarbeitung besonderer Kategorien personenbezogener Daten, Videoüberwachung im öffentlichen Raum

  • Betroffenenrechte: bestandserhaltende Einschränkungen der Betroffenenrechte

  • Aufsichtsbehörden: grundsätzliche Regelungen, Zusammenarbeit und Kohärenz: Umsetzung der Regelungsaufträge des Kapitels 7 der EU-DSGVO

  • besondere Verarbeitungssituationen: Medien, Beschäftigtendatenschutz, Berufsgeheimnisträger, Scoring und Verbraucherkredite

Es liegen schriftlich vor:

dfd

IT-Consulting und Datenschutzbüro - Markus Schulte - Graf-Engelbert-Straße 67 - D-40489 Düsseldorf - Mobil 0151-12479963 - info(at)itschulte(dot)de - 2018 © Markus Schulte

Diese Website benutzt Cookies und Reichweitenmessungen, um Ihnen das beste Erlebnis zu ermöglichen. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.