Einführung EU-Datenschutz-Grundverordnung
 

Einführung EU-Datenschutz-Grundverordnung

Mit der EU-Datenschutz Grundverordnung (DS-GVO) tritt am 25. Mai 2018 eine der wichtigsten Änderungen im Datenschutzrecht im letzten Jahrzehnt in Kraft. Hierdurch wird das Datenschutzrecht EU-weit vereinheitlicht. Die DS-GVO regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Wer ist betroffen?

Die DSGVO regelt die Rechtsgrundlagen der Datenverarbeitung, Rechte von Betroffenen und Pflichten von Verantwortlichen. Betroffen sind alle Unternehmen, die ihren Sitz in der EU haben, personenbezogene Daten von EU-Bürgern verarbeiten und im Netz aktiv sind. Dies berührt unter anderem Kundendaten, Newsletter-Daten, Web-Statistiken oder Kreditkartendaten.

Fragen und Herangehensweise

Das Datenschutzgesetz wird dabei zwar nicht komplett verändert – allerdings ist die bestehende Datenschutzpraxis dringend zu überprüfen und anzupassen. Nur wenige Unternehmen sind nach unserer ersten Erfahrung vollständig auf die neue Rechtsverordnung vorbereitet. Folgende Themen sind zu klären:

  • Bestehen Lücken in der aktuellen Datenschutzpraxis?
  • Sind komplexe Unternehmensprozesse betroffen?
  • Wie stellt man ein nachhaltiges Datenschutzmanagement sicher?

Hohe Bußgelder

Die DS-GVO enthält vor allem auch einen stark erhöhten Bußgeldrahmen: Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr des Unternehmens.

Die wichtigsten Auszüge der EU-DSGVO im Überblick

  1. Datenschutz-Folgeabschätzung
    Es ist bei Datenverarbeitung immer eine sogenannte Datenschutz-Folgeabschätzung durchzuführen, wenn bei der Datenverarbeitung

    1. mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person zu rechnen ist oder sie zu einer Profilbildung führt (Beispiel: Bankdaten, Arbeitnehmerdaten)
    2. Mindestinhalt ist dabei:
      • Systematische Beschreibung der Verarbeitungsvorgänge
      • Bewertung der Notwendigkeit und Verhältnismäßigkeit
      • Risikobewertung und Abhilfemaßnahmen zur Risikoabwehr
  2. Erweiterte Dokumentations- und Nachweispflichten
    Es muss mit der neuen Vorgabe ein „Verzeichnis von Verarbeitungstätigkeiten“ aller personenbezogener Daten mit Dokumentation und Übersicht über alle eingesetzten Verfahren, Zweck der Verarbeitung, Fristen zur Löschung etc. eingesetzt werden. Je nach Art der Daten müssen „geeignete technische und organisatorische Maßnahmen“ ergriffen werden, um nachweisen zu können, dass die personenbezogene Datenverarbeitung den EU-Regelungen entspricht
  3. Erweiterte Informationspflichten
    Informationen zu Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sollen für die Betroffenen einfacher zugänglich gemacht werden. Neu ist das Recht auf „Vergessen werden“, welches die Löschung von veröffentlichten personenbezogenen Daten einfacher macht.
  4. Meldepflicht von Datenschutzverstößen
    bei einem Verstoß muss innerhalb von 72 Stunden nach Bekanntwerden an die Behörde oder an die betroffenen Personen kommuniziert werden, wenn „voraussichtlich ein hohes Risiko für persönlichen Rechte und Freiheiten“  resultiert. Darunter fällt unter anderem:

    • jede Hacker Attacke, sofern hierbei der Zugriff auf personenbezogene Daten möglich war
    • Datenlecks, wie z.B. der versehentliche Versand personenbezogener Daten an einen falschen Empfängerkreis
  5. Einsatzes eines Datenschutzbeauftragten
    Die besondere Bedeutung, die dem Datenschutzbeauftragten zukommt, wird daran deutlich, dass ihm die DS-GVO einen eigenen Abschnitt widmet. Erstmals gibt es also europaweit einen Datenschutzbeauftragten in Unternehmen. Es ist auch nach den Regelungen in der DS-GVO seine Aufgabe, den Verantwortlichen oder den Auftragsverarbeiter sowie die Beschäftigten zu beraten und zu unterrichten, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen, Mitarbeiter zu schulen und mit der Aufsichtsbehörde zusammenzuarbeiten.
  6. Datenschutz-Folgenabschätzungen
    Vor risikobehafteten Datenverarbeitungen, insbesondere bei der Verwendung neuer Technologien und besonders sensiblen Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren.

Resümee

Mit der neuen Datenschutzverordnung stehen Unternehmen  vor der Aufgabe, bis Mai 2018 ihre Datenschutzpraxis zu überprüfen, ein Datenschutzmanagement-System einzurichten bzw. nach den Vorgaben der DSGVO anzupassen. Es müssen Lösungen entwickelt werden, die die sicheren Verwaltung und Speicherung von Daten und Dokumenten sicherstellt. Die Verordnung bringt darüber hinaus umfangreiche Nachweispflichten mit sich. Es muss zu jeder Zeit nachgewiesen werden können, welche Daten wo gespeichert sind, wer Zugriff darauf hat und mit welchen Berechtigungen. Die datenschutzrechtliche Umsetzung muss gegenüber der zuständigen Aufsichtsbehörde nachgewiesen werden können. Daher ergibt sich die Notwendigkeit, Dokumentationsprozesse einzuführen, um jederzeit Auskünfte zu jedem einzelnen Datensatz erteilen zu können.

Maßnahmen aus Agentur-Sicht

  1. Verträge zur Datenverarbeitung im Auftrag müssen neu abgeschlossen, bzw. angepasst werden (neu als sog. Auftragsverarbeitung bezeichnet).
  2. Bei Datenverarbeitungsvorgängen mit hohem Risiko ist eine Datenschutzfolgenabschätzung durchzuführen.
  3. Eine der wichtigsten Anforderungen der DS-GVO ist für Unternehmen die bestehenden technisch-organisatorischen Maßnahmen zu prüfen und zu dokumentieren.
  4. Die Meldepflichten bei Data Breaches werden durch die DS-GVO stark erweitert. Unternehmen müssen deshalb sicherstellen, ein internes Kontroll- und Managementsystem einzuführen, welches eine Meldung von derartigen Datenschutzverstößen sicherstellt

Sprechen Sie mit uns

Haben Sie Fragen? Gemeinsam mit unserer beratenden Anwaltskanzlei HEUSSEN unterstützen Sie bei den nötigen Anpassungen. In Zusammenarbeit mit HEUSSEN wurde ein Compliance Produkt entwickelt, welches unter anderem eine GAP-Analyse und Readiness Assessment als Ausgangpunkt für die rechtskonforme Umsetzung der DS-GVO beinhaltet.

Kontakt

Tobias Schalkhaußer
Telefon: +49 89 442358-11
Email:
Kontakt
SocialMedia

schalk&friends

Lindwurmstraße 124

D- 80337 München

Work +49 (89) 44 23 58-0

Fax +49 (89) 44 23 58-20

vCard exportieren

Zur Kartenansicht

  • Kontaktformular
    • Rückruf gewünscht?
    •   ja