Was die neue EU-Datenschutz –Grundverordnung (EU-DSGVO) bringt

Ab dem 25. Mai 2018 kommt die neue europaweit geltende Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung und dient dem Schutz personenbezogener Daten. Sowohl für Unternehmen, deren Verarbeitung von personenbezogenen Daten eine wichtige Rolle in der laufenden Geschäftstätigkeit spielt (insbesondere werbetreibende Unternehmen), aber auch natürliche Personen, die sich mit diesem immer wichtiger werdenden Thema beschäftigen, bietet dieser Blogeintrag eine Übersicht über die wichtigsten Rechte und Pflichten, die eingehalten werden sollten. Grundsätzlich gelten die neuen Verordnungen für alle EU-Staaten; es können jedoch von jedem einzelnen Land noch geringe Spielräume genutzt werden um nationale individuelle Gesetze zu erlassen.

Die Eckpfeiler:

  • Mehr Selbstverantwortung für die Unternehmen bzw deren Verantwortliche (Accountability-Prinzip)
  • Die Stärkung der Betroffenenrechte durch mehr Transparenz und Verankerung des Rechts auf Vergessenwerden;
    Einwilligung gilt nur aktiv und eindeutig
  • Fokus auf die Datensicherheit:
  • verpflichtende angemessene Sicherheitsvorkehrungen
  • Implementierung eines Datenschutzmanagementsystems;Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden und Betroffenen gemeldet werden.
  • In manchen Unternehmen müssen Datenschutzbeauftragte bestellt werden
  • Erhöhter Strafrahmen bei Missbrauch (siehe dazu unseren Blogeintrag „Geldbußen – hoffentlich nicht, aber falls doch, wie hoch?“)

Die bisherige Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) entfällt hingegen zukünftig.

 

Woran Sie sich halten müssen

  • Zweckbindung à keine nicht zu vereinbarende Weiterverarbeitung
  • Datenminimierung à Verarbeitung auf das notwendige Maß beschränkt
  • Rechtmäßigkeit und Transparenz
  • Richtigkeit
  • Speicherbegrenzung à nur solange erforderlich
  • Integrität und Vertraulichkeit.

Achtung: Der Verantwortliche ist für Einhaltung der Grundsätze verantwortlich und muss deren Einhaltung nachweisen können!

 

Dabei gilt zu beachten, dass die Verarbeitung von sensiblen Daten wie politische Meinung, Religion, Gesundheitsdaten grundsätzlich untersagt ist. Ausnahmen gelten etwa im Gesundheits- oder Sozialsystem.

 

Achtung: Auch bei „nicht sensiblen Daten“ hat eine Einwilligung der betroffenen Person zu erfolgen.

 

Bleiben meine Daten für immer gespeichert?

Unternehmen müssen den Nutzern die Rechtsgrundlage zur Datenverarbeitung ebenso mitteilen wie die Dauer der Datenspeicherung.

 

Es wird den Betroffenen auch das „Recht auf Vergessenwerden“ eingeräumt. Dies bedeutet, dass eine betroffene Person ihre Einwilligung zur Datenverarbeitung widerruft und beantragt, dass die gesammelten Daten gelöscht werden.

 

Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, sowie ein Widerspruchsrecht müssen Sie ab Mai jedem zugestehen. Betroffene haben auch Informations- und einem Auskunftsrechte.

 

Die Strafen

Damit die Nutzer auch wirklich geschützt werden, haben sich auch die Geldstrafen bei Missbrauch erheblich gesteigert. Es drohen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Die Bedeutung der neuen Regelungen scheinen sich viele Unternehmer noch nicht bewusst, trotz erhöhter Strafen. Die Abmahner, die im Web nicht selten anzutreffen sind, reiben sich schon die Hände.

 

Die Pflichten des Verantwortlichen

Verantwortlich ist derjenige, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

 

Zu seinen Pflichten zählen:

  • Informationspflichten
  • Datensicherheit und Datenschutz (Verschlüsselung von Daten)
  • Verzeichnis aller Datenverarbeitungstätigkeiten (nur bei relevanten Unternehmen)
  • Im Falle einer Datenschutzverletzung muss Verantwortlicher unverzüglich (72 Stunden) eine Meldung an die Aufsichtsbehörde und die betroffene Person durchführen
  • Risikoanalysen müssen durchgeführt werden
  • Datenschutzbeauftragter verpflichtend zu bestellen (siehe dazu unseren Blogeintrag „Brauche ich einen Datenschutzbeauftragten?“)