Datenschutz-Grundverordnung: Welche Änderungen sind für Unternehmen wichtig?

DSGVO 2018

Datenschutz-Grundverordnung: Welche Änderungen sind für Unternehmen wichtig?

Die Datenschutz-Grundverordnung (DS-GVO) welche seit Mai 2016 in Kraft, aber erst ab dem 25. Mai 2018 anzuwenden ist, sieht umfassende Veränderungen im Bereich des Datenschutzes vor.

Durch sie soll die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen innerhalb der EU bei gleichzeitiger Wahrung des freien Datenverkehrs innerhalb des EU-Binnenmarktes neu geregelt werden.
Welche Veränderungen Sie als Unternehmer zu kommen, finden Sie im folgenden Überblick.

Die Neuerungen können grob in vier Teilbereiche unterteilt werden:

  • Rechte des Betroffenen und Folgen für den Verantwortlichen
  • Datenschutzbeauftragter und Datenschutz-Folgeabschätzung
  • Transparenz und Informationspflichten
  • Bußgelder und Sanktionen
  • Besonderheiten im eCommerce-Bereich

Rechte der Betroffenen und Folgen für den Verantwortlichen

Neue Rechte, die in der DS-GVO in Artikel 17 geregelt sind und die ein Betroffener gegenüber dem Verantwortlichen geltend machen kann, sind:

  • das Recht auf Löschung ( „Recht des Vergessenwerdens“)
  • das Recht auf Einschränkung

Hierbei kann von den Verantwortlichen die unverzügliche Löschung der personenbezogenen Daten des Betroffenen verlangt werden.
Des Weiteren kann der Betroffene Widerspruch gegen Publikationen einlegen und seine Einwilligung widerrufen.
Zudem ist der Verantwortliche verpflichtet alle weiteren Verantwortlichen, die bei der Verarbeitung der personenbezogenen Daten involviert waren/sind, zu informieren, dass der Betroffene die Löschung aller Links zu diesen Daten oder von Vervielfältigungen dieser Daten verlangt.

Datenschutzbeauftragter und Datenschutz-Folgeabschätzung

Datenschutzbeauftragter

Mit der Anwendung der Datenschutz-Grundversorgung wird erstmalig eine europaweite Pflicht, einen Datenschutzbeauftragten zu bestellen, eingeführt.
Allerdings ist diese Verfügung an bestimmte Voraussetzungen gebunden und das Unternehmen liegt in der Verantwortung, die Verpflichtung eigenständig zu prüfen, zu dokumentieren und nachzuweisen, ob dieser nachgekommen werden muss.

Voraussetzungen, die zur Verpflichtung führen, sind:

  • die Verarbeitung der personenbezogenen Daten geschieht in einem solchen Umfang und Zweck, dass sie als Kerntätigkeit kategorisiert werden kann.
    Trifft dies zu ist eine umfangreiche, systematische und stetige Überwachung erforderlich.
  • die zu verarbeitende Daten eine besondere Kategorie zu zuweisen sind

 

Datenschutz-Folgeabschätzung ( Art. 35 DSGVO)

Bei der Datenschutz-Folgeabschätzung handelt es sich im Grunde um eine RisikoanalyseWas bedeutet die DSGVO für Webseitenbetreiber? mit umfangreicher Dokumentationspflicht, bei der Prozesse und Interessenszweck zu beschreiben und darzulegen sind.
Hierbei muss geprüft werden, ob bei Vorgängen zur Verarbeitung personenbezogener Daten – besonders unter Verwendung neuer Technologien – die geltenden, datenschutzrechtlichen Anforderungen erfüllt werden können und wie das Risiko für die Rechte und Freiheiten der betroffenen Person zu bewerten ist.
Die Datenschutz-Folgeabschätzung ist verpflichtend, wenn

  • ein hohes Risiko für die Rechte und Freiheiten der betroffenen, natürlichen Person zu erwarten ist
  • eine umfangreiche Verarbeitung personenbezogener Daten besonderer Kategorien (genauer definiert in Art. 9 und Art. 10 DSGVO) erfolgt
  • es sich bei der Datenverarbeitung um die systematische Überwachung öffentlicher Bereiche handelt

 

Transparenz und Informationspflichten

Die Datenschutz-Grundverordnung sieht insbesondere im Bereich der Transparenz und den Informationspflichten weitreichende Veränderungen vor, die über das derzeit bestehende Recht (s. Bundesdatenschutzgesetz) hinausreichen.

Die Informationspflicht bei Direkterhebung sieht Folgendes vor:

  • die Angabe der Kontaktdaten jener Person, die verantwortlich für die Datenverarbeitung ist, sofern vorhanden die des Stellvertreters, sowie die Kontaktdaten des Datenschutzbeauftragten
  • der Erhebungs- und Verarbeitungszweck muss angeben werden
  • es besteht umfassende Informationspflicht des Betroffenen im Falle der Übermittlung der personenbezogenen Daten
  • bei Übermittlung der Daten an internationale Organisationen/ Organisationen in Drittländern ist der Betroffene ebenfalls zu informieren – auch wenn nur eine Speicherung der Daten erfolgt
  • das Unternehmen ist in der Pflicht, dem Betroffenen die besonderen Bedingungen (Maßnahmen zur Gewährleistung des Datenschutzniveaus) mitzuteilen und die Möglichkeit zur Einsicht dieser Maßnahmen zu gestatten

Zum Zwecke der Transparenz muss der Verantwortliche dem Betroffenen folgende Pflichten gegenüber wahrnehmen:

  • Informierung über die Dauer der Speicherung der Daten
  • umfassende Rechtsbelehrung des Betroffenen
  • Bereitstellung von Informationen zur Aufsichtsbehörde im Falle einer Beschwerde, sowie die Angabe der vertraglichen Verpflichtungen des Betroffenen durch die Datenbereitstellung
  • Darlegung der Logik, Tragweite und Auswirkungen der Datenverarbeitung

Auch bei der Dritterhebung bestehen festgelegte Informationspflichten, denen der  Verantwortliche nachzukommen hat, sowie die Beachtung der Form und der zeitlichen Spielräume bei der Bereitstellung von Information.

Einschränkungen der Informationspflicht ist nur in drei Ausnahmefällen vorgesehen und im Vergleich zum BDSG stark restringiert.

Bußgelder und Sanktionen

Nach der Datenschutz-Grundverordnung werden die Beiträge des Bußgeldes künftig durchschlagend erhöht.
Waren nach dem BDGS, Bußgelder in Höhe 50.000€ bis 300.000€  je nach Art der Nichtbeachtung definiert, können die Bußgelder nach der DS-GVO Größen bis zu 20 Millionen oder bis zu 4% des Jahresumsatzes ( bei Tochtergesellschaften kann der Umsatz des Weltkonzern herangezogen werden) annehmen.

Die Vorschriften der Sanktionen werden nach Art. 84 (1) der DS-GVO von den Mitgliedstaaten, mit den Voraussetzungen „wirksam, verhältnismäßig und abschreckend“ zu sein, festgelegt.

Weitere Änderungen im Überblick

 

  • die Datenerhebung unterliegt der Zweckbindung und kann nur der Ausnahme der Erweiterung unterliegen, wenn die Zwecke vereinbar sind und dem ursprünglichen Zweck entsprechen
  • Aufträge zur Datenverarbeitung können nur noch vertraglich erteilt werden
  • Besucher einer Webseite müssen weitgehend und in einfacher Sprache über die Erhebung und Verarbeitung der personenbezogenen Daten informiert werden
  • eine internationale Datenübertragung / in Drittländer ist nur noch zulässig, wenn ein adäquates Datenschutzniveau im jeweiligen Land gewährleistet ist oder durch zusätzliche Absicherungsmaßnahme konkrete Instrumente dafür sind vorgeschrieben) erreicht werden kann
  • Zertifizierungen werden zunehmend an Bedeutung gewinnen
  • Höheres Haftungsrisiko, da es für die Betroffenen leichter wird Haftungsansprüche leichter geltend zu machen
  • bei der Datenverarbeitung von Kinder und Jugendlicher unter 16 Jahren muss die parentale Einwilligung vorausgehen
  • Verletzungen der Vorschriften müssen dem Betroffenen unmittelbar und der zuständigen Aufsichtsbehörde innerhalb von 72 h mitgeteilt werden
  • das Recht auf Datenübertragbarkeit räumt den Betroffenen ein, personenbezogene Daten mitzunehmen

 

Besonderheiten für eCommerce-Bereich

  • Rechtmäßigkeit der Verarbeitung

Die Datenerhebung ist nur rechtens, wenn mindestens eine der definierten Bedingungen des Art. 6 der DS-GVO erfüllt wird.
Hier wird auch die Ausnahme definiert, dass Daten des Webseitenbesuchs auch ohne dessen Einwilligung verarbeitet werden können, wenn sie für die Wahrung der berechtigten Interessen des Verantwortlichen/eines Dritten notwendig sind, allerdings unter der Voraussetzung, dass das Interesse nicht die Grundrechte und Grundfreiheit der betreffenden Person überwiegt.
Es muss also ein berechtigtes Interesse zugunsten des Webseitenbetreibers vorliegen.

  • Datenschutzerklärung mit ausführlicher Informierung über die Datenerhebung und –verarbeitung wird verpflichtend
  • Dokumentationspflicht für jede einzelne Werbemaßnahme mit Interessenabwägung
  • Direktmarketing

E-Mail und postalische Werbung: nachvollziehbare Einwilligung des Betroffenen,
der Verantwortliche muss erkennbar sein
Ausnahme: postalische Werbung auf Grundlage
von Listendaten
Telefon: bei Privatpersonen muss die Einwilligung vorliegen, bei B2B entscheidet
die InteressenabwägungUmfassendes Widerspruchsrecht, das dem Betroffenen einräumt, jederzeit widersprechen zu können ( Art. 21 DS-GVO)

 

Durch die Datenschutz-Grundverordnung stehen Unternehmen in der Verantwortung ihre internen Prozesse zu revidieren und zu optimieren.
Verantwortlichkeiten müssen neu definiert und neue Voraussetzungen, um die Anforderungen des geltenden Rechts zu erfüllen, geschaffen werden


Diese Artikel könnten Sie auch interessieren:

zurück