EU-DSGVO

EU-Datenschutzgrundverordnung

Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (EU-DSGVO) nach einer Übergangszeit von zwei Jahren in Kraft. Sie vereinheitlicht das Datenschutzrecht innerhalb der EU und ersetzt ab diesem Zeitpunkt das Bundesdatenschutzgesetz und die EU Datenschutzrichtlinie (Richtlinie 95/46/EG).


Wer ist davon betroffen?

Die DSGVO regelt die Rechtsgrundlagen der Datenverarbeitung, Rechte von Betroffenen und Pflichten von Verantwortlichen. Betroffen sind alle Unternehmen, die ihren Sitz in der EU haben, personenbezogene Daten von EU-Bürgern verarbeiten und im Netz aktiv sind (das betrifft z.B. Kundendaten, Newsletter, User Tracking oder die eigene Datenschutzerklärung).     

Die DSGVO wird das bestehende Datenschutzgesetz nicht komplett umkrempeln. In ihrer Eigenschaft als Grundverordnung wird sie auch einige Öffnungsklauseln für nationales Recht zulassen. Auch die bisherigen Grundsätze des „Verbots mit Erlaubnisvorbehalt“, „Transparenz“, „Datenvermeidung und Datensparsamkeit“ sowie „Zweckbindung“ sind weiterhin gültig. 

Datenschutzpraxis überprüfen und anpassen

Nur wenige Unternehmen sind Stand heute vollständig auf die neue Rechtsverordnung vorbereitet. Sie stehen vor den Fragen:

  • Welche Lücken weist die aktuelle Datenschutzpraxis auf?
  • Wie geht man die Umsetzung am besten an?
  • Welche Unternehmensprozesse sind davon betroffen?
  • Wie stellt man ein DSGVO-konformes Datenschutzmanagement sicher?

Es kann teuer werden

Keine kleine Aufgabe, die es zu bewältigen gilt: die bestehende Datenschutzpraxis zu überprüfen und das Datenschutzmanagement nach den Vorgaben der DSGVO anzupassen.

Denn die Nichterfüllung kann teuer werden: Verstöße können mit Sanktionen von bis zu 20 Mio. € oder bis zu 4 % des weltweiten Firmenumsatzes geahndet werden. 

Die wichtigsten Auszüge der EU-DSGVO im Überblick

Bestellung eines Datenschutzbeauftragten

In drei Fällen ist dies Pflicht: 

  • Öffentliche Stellen, wenn sie personenbezogene Daten verarbeiten
  • Nicht-öffentliche Stellen, wenn deren Kerntätigkeit in der Datenverarbeitung besteht oder
  • eine umfangreiche Verarbeitung von Daten umfasst, die nach Art. 9 oder 10 der DSGVO besonders schutzwürdig sind.  
Erweiterte Dokumentations- und Nachweispflichten

z.B. das „Verzeichnis von Verarbeitungstätigkeiten“ aller personenbezogener Daten mit Dokumentation und Übersicht über alle eingesetzten Verfahren, Zweck der Verarbeitung, Fristen zur Löschung etc. Je nach Art der Daten müssen „geeignete technische und organisatorische Maßnahmen“ ergriffen werden, um nachweisen zu können, dass die personenbezogene Datenverarbeitung den EU-Regelungen entspricht. 

Erweiterte Informationspflichten

Informationen zu Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sollen für die Betroffenen einfacher zugänglich gemacht werden. Neu ist das Recht auf „Vergessen werden“, welches die Löschung von veröffentlichten personenbezogenen Daten einfacher macht.   

Privacy by Design und Default

Bereits bei der Entwicklung von IT-Produkten, -Dienstleistungen und -Anwendungen muss das Datenschutzrecht beachtet werden - v.a. durch die Ausrichtung am Gebot der Datenminimierung (Datenerhebung nur in dem Umfang, wie zum Zweck der Erfüllung erforderlich ist).     

Meldepflicht von Datenschutzverstößen

innerhalb von 72 Stunden nach Bekanntwerden an die Behörde bzw. an die betroffenen Personen, wenn "voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten" daraus resultiert.   

Datenschutz-Folgenabschätzungen

Vor risikobehafteten Datenverarbeitungen, insbesondere bei der Verwendung neuer Technologien und besonders sensiblen Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. 

 

 

 

Fazit

Die neue Datenschutzverordnung stärkt in vielerlei Hinsicht die Rechte der Nutzer und schafft für Unternehmen eine Menge neuer Pflichten. Unternehmen stehen vor der Aufgabe, bis Mai 2018 ihre Datenschutzpraxis zu überprüfen, ein Datenschutzmanagement-System einzurichten bzw. nach den Vorgaben der DSGVO anzupassen. Es müssen Strategien und Lösungen entwickelt werden, die der sicheren Verwaltung und Speicherung von Daten und Dokumenten dienen - egal aus welchen Systemen. Die Verordnung bringt darüber hinaus umfangreiche Nachweispflichten mit sich. Es muss zu jeder Zeit nachgewiesen werden können, welche Daten wo gespeichert sind, wer Zugriff darauf hat und mit welchen Berechtigungen. Die datenschutzrechtliche Umsetzung muss gegenüber der zuständigen Aufsichtsbehörde nachgewiesen werden können. Daher ergibt sich die Notwendigkeit, Dokumentationsprozesse einzuführen, um jederzeit Auskünfte zu jedem einzelnen Datensatz erteilen zu können. 

Geschäftsführer Michael Kirchberger

Sprechen Sie mit uns

Haben Sie Fragen zur EU-DSGVO? Gemeinsam mit einem externen Datenschutzbeauftragten erarbeiten wir mit Ihnen ein effektives Datenschutzmanagement-System und unterstützen Sie bei den nötigen Anpassungen.  

Ihr Ansprechpartner: Michael Kirchberger

Telefon: 089/3564714-21

Email: m.kirchberger.server-mail@kirchbergerknorr.de