Neue Datenschutz-Grundverordnung bringt zahlreiche Neuerungen - Was Sie jetzt wissen müssen

Datenschutz in EuropaNeudietendorf, 21. März 2018. Die neue Datenschutz-Grundverordnung der EU, die am 25. Mai in Kraft tritt, bringt zahlreiche Neuerungen, etliche Prozesse müsse überprüft und angepasst werden. Die bereits 2016 beschlossene Verordnung wird den Datenschutz in allen EU-Mitgliedsstaaten vereinheitlichen. Für die Umsetzung der neuen Verordnung wurde seitens dem Gesetzgeber eine Übergangsfrist von zwei Jahren gewährt, wobei diese Frist am 25.05.2018 endet und die neue Verordnung uneingeschränkt ihre Gültigkeit entfaltet.

Die wichtigsten Änderungen gegenüber dem bisher geltenden Recht in Deutschland werden nachfolgend kurz und auszugsweise dargestellt:

(1) Grundsatz der Zweckbindung
Personenbezogene Daten dürfen nur für den Zweck erhoben werden, der im Vorfeld festgelegt wurde. Öfters möchten Unternehmen die gewonnen Daten für spätere, weitere Zwecke verwenden, doch aufgrund der Zweckbindung ist eine Weiterverarbeitung der personenbezogenen Daten zulässig und nicht gestattet.

(2) Bestellung eines Datenschutzbeauftragten
Jedes Unternehmen unterliegt der Verpflichtung, eigenständig zu prüfen, zu dokumentieren und nachzuweisen, ob die Erfordernis besteht, einen Datenschutzbeauftragten zu bestellen. Die Voraussetzungen dafür sind in Artikel 37 der neuen EU-DSGVO verschriftlicht.

(3) Recht auf Vergessenwerden
Als „Recht auf Vergessenwerden“ bekannt sind Löschansprüche, die Betroffenen zustehen. Dies hat auch weitreichende Folgen. Sollten beispielsweise Daten an Dritte weitergeleitet worden sein und der Betroffene eine Löschung fordern, ist die Löschanweisung ebenso weiterzuleiten.

(4) Recht auf Schadenersatz
Bei Fehlern in der Verarbeitung von personenbezogenen Daten können Betroffenen Schadenersatzansprüche zustehen, sofern Haftungsansprüche gegenüber dem Unternehmen geltend gemacht werden. Aufgrund dessen sollten Unternehmen ihre datenverarbeitenden Prozesse kritisch prüfen, da ein erhöhtes Haftungsrisiko besteht.

(5) Bußgelder
Bei Verstoß gegen die Regelungen der EU-DSGVO können immense Bußgelder auferlegt werden, welche sich auf bis zu 4% des Jahresumsatzes im vorangegangenen Geschäftsjahre belaufen können. Die zuständige Aufsichtsbehörde kann die Anordnung erteilen, den Datenschutzverstoß zu beenden. Für das Unternehmen geht damit die Pflicht einher, die betroffenen Prozesse in der Datenverarbeitung anzupassen. Sollte dies nicht geschehen, kann die Verarbeitung personenbezogener Daten vollständig untersagt werden.

(6) Informationspflicht (Verarbeitungstätigkeiten)
Dem Betroffenen ist transparent zu machen, welche personenbezogenen Daten bei welcher Gelegenheit erhoben und verarbeitet werden. Dies ist von Unternehmen in einem umfangreichen Verzeichnis der Verarbeitungstätigkeiten offenzulegen. Es führt dazu, dass nicht nur der Name der verantwortlichen Stelle preiszugeben ist, sondern auch die Kontaktdaten der Person anzugeben sind, die für die Verarbeitung verantwortlich ist. Ebenso ist auch die (Rechts-)Grundlage für die Verarbeitung der personenbezogenen Daten transparent zu machen. Weiterhin muss bei einer Übermittlung der personenbezogenen Daten der Empfänger der Daten zu benennen und die Dauer der Speicherung der Daten definieren.

(7) Werbung
Für die einzelnen Werbekanäle gelten individuelle Auflagen:
Postalische Werbung: Die Einwilligung des Betroffenen ist erforderlich. Eine Ausnahme liegt vor, wenn die Werbung auf Basis von Listendaten (z.B. Name und Anschrift) erfolgt. Der Betroffene muss erkennen können, wer der Verantwortliche für die Werbung ist. Sollten die personenbezogenen Daten von einer dritten Quelle stammen, ist diese zu nennen.
E-Mail: Eine Einwilligung muss grundsätzlich vorliegen.
Telefon: Die EU sieht einen hohen Schutzbedarf des Angerufenen, weshalb eine Einwilligung ebenfalls erforderlich ist - zumindest bei der Ansprache von Verbrauchern
Mit der EU Datenschutz-Grundverordnung wurde weiterhin ein umfassendes Widerspruchsrecht eingeführt.

(8) Datenschutzfreundliche Voreinstellungen (privacy by default)
Organisationen werden durch die neue Verordnung dazu verpflichtet, ihre Prozesse so zu gestalten, dass sie als datenschutzfreundlich gelten. Gemeint ist, dass ausschließlich Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Demnach wird schon auf Entwickler- und Implementierungs-/Anbieterebene der Datenschutz gesetzlich eingefordert.

(9) Datenschutz durch Technikeinstellung (privacy by design)
Durch technische Maßnahmen bzw. Technikgestaltung soll gezielt der Grundsatz der Datenvermeidung wirksam umgesetzt werden.

(10) Datenschutzverletzungen
Innerhalb von 72 Stunden ist die Aufsichtsbehörde zu informieren, sofern Datenschutzverletzungen aufgetreten sind. Weiterhin sind Betroffene in diesem Zusammenhang unmittelbar davon in Kenntnis zu setzen und über den Umfang, die Folgen und den Maßnahmeplan der Verletzung zu informieren.

(11) Datenschutzfolgeabschätzung
Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutzfolgeabschätzung grundsätzlich immer dann durchzuführen wenn:
„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.
Die Datenschutz-Folgeabschätzung dient der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen, insbesondere dann, wenn sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten .
Ergo werden durch die neuen EU-DSGVO die Grundprinzipien des Datenschutzes nicht verändert. Es war lediglich Ziel, ein einheitliches Datenschutzrecht in der EU zu erreichen, welches aber in der Folge für die Unternehmen immense Neuerungen, zahlreiche neue Pflichten und ein erhöhtes Haftungsrisiko mit sich bringen.

Die Paritätische Akademie wird am 20. April eine Veranstaltung zu dem Thema anbieten. Weiterhin organisiert der Paritätische derzeit regionale Informationsveranstaltungen zur Thematik. Über die Termine werden wir zeitnah informieren.

Tags: Datenschutz, Datenschutzverordnung

Drucken