Aktuelles

Mit 25. Mai 2018 wird die europäische Datenschutzgrundverordnung, kurz DSGVO, unmittelbar anwendbar. An sich ist das auch nicht weiter schlimm, in vielerlei Hinsicht sogar begrüßenswert, einzig die Zeit wird langsam knapp.

Aufgrund zahlreicher Neuerungen und Verschärfungen genügt es als datenverarbeitendes Unternehmen nicht mehr, Verstöße gegen das Datenschutzrecht zu unterlassen, sondern ist es nun erforderlich, aktiv Maßnahmen zu ergreifen, um den Schutz personenbezogener Daten zu gewährleisten. Als Unternehmer oder Verantwortlicher eines Unternehmens wird man daher nicht umhin kommen, sich mit dieser Materie auseinanderzusetzen. Eine der schmerzhaftesten Neuerungen ist nämlich die empfindliche Anhebung der Strafen bei Verstößen und Verletzungen.

Auch wir wollen einen kleinen Beitrag leisten, um Sie informiert zu halten, weshalb wir einen kurzen Überblick geben wollen:

Die DSGVO findet Anwendung auf die automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder werden sollen. Geschützt sind nur natürliche Personen und bedarf es für die räumliche Anwendbarkeit eines Anknüpfungspunktes im Unionsgebiet.

Mit der DSGVO halten zahlreiche neue Begriffe Einzug in das Datenschutzrecht, etwa Profiling, Pseudonymisierung, Data Breach, Aufsichtsbehörde, maßgeblicher und begründeter Einspruch, usw.

Neben den bisherigen Betroffenenrechten auf Auskunft, Berichtigung, Löschung und Widerspruch werden nun zusätzliche Rechte geschaffen, wie beispielsweise das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit.

Verantwortliche und Auftragsverarbeiter werden nun wesentlich stärker in die Pflicht genommen. Diese haben nun ein Verzeichnis von Verarbeitungstätigkeiten zu führen, welches die DVR-Meldepflicht ersetzt. Darüber hinaus ist bei Inbetriebnahme eines neuen Datenverarbeitungssystems eine Datenschutz-Folgenabschätzung durchzuführen. Im Falle eines Data-Breach ist dies der Aufsichtsbehörde zu melden und sind die Betroffenen zu verständigen. Gegebenenfalls ist ein Datenschutzbeauftragter zu bestellen.

Die unabhängige Aufsichtsbehörde kann Verhaltensregeln genehmigen und deren Einhaltung überwachen; bestimmte Verarbeitungsvorgänge können zum Nachweis der Verarbeitung in Übereinstimmung mit der DSGVO zertifiziert werden.

Für den Datenverkehr mit Empfängern in Drittstaaten oder internationalen Organisationen ist ein Angemessenheitsbeschluss der Europäischen Kommission, das Vorliegen geeigneter Garantien oder das Vorliegen verbindlicher unternehmensinterner Vorschriften erforderlich, um beim Empfänger im Drittstaat dasselbe Schutzniveau wie in der EU zu gewährleisten.

Neu eingeführt wird das One Stop Shop-Prinzip, das für grenzüberschreitende Sachverhalte eine verstärkte Zusammenarbeit zwischen den Aufsichtsbehörden vorsieht. Dazu wird die Aufsichtsbehörde am Sitz der Hauptniederlassung des Datenverarbeiters als federführende Aufsichtsbehörde, die die Einbindung der darüber hinaus betroffenen Aufsichtsbehörden koordiniert und sich mit ihnen abstimmt.

Einzurichten ist ein Europäischer Datenschutzausschuss, in dem sämtliche Aufsichtsbehörden, der Europäische Datenschutzbeauftragte und die Europäische Kommission vertreten sind. Dieser Ausschuss kann Leitlinien zu Themen der DSGVO verabschieden, Stellungnahmen abgeben und verbindliche Beschlüsse fällen.

Die Geldbußen für Verstöße werden verschärft und betragen nun bis zu € 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, wobei der jeweils höhere Betrag herangezogen wird.