Angesichts der zunehmenden Datenmengen – qualitativ und quantitativ – muss ein zukunftsorientiertes Datenschutzrecht eine Balance zwischen den grundrechtlich geschützten Interessen des jeweiligen Betroffenen und den legitimen Interessen von Unternehmen an der Nutzung von Daten finden.
Die EU-Datenschutz-Grundverordnung (EU DS GVO) ist zum 25.05.2016 in Kraft getreten. Sie regelt den Datenschutz in der Europäischen Union, so dass Daten frei im Binnenmarkt verarbeitet werden können.
Bis zum Ende der Umsetzungsfrist am 25.05.2018 müssen Unternehmen ihre Prozesse an die neuen, höheren Anforderungen anpassen. Das betrifft insbesondere die Einführung bzw. Aktualisierung eines Datenschutzmanagements. Der Grundsatz der Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine ausdrücklich geregelte Rechenschaftspflicht verdeutlicht, die sich bei Missbrauch auch in Bußgeldern bis max. 20 Mio. EURO oder 4% des weltweiten Jahresumsatzes niederschlagen kann.
Was ist zu tun? Zunächst sollte eine Bestandsaufnahem gemacht werden: Was ist an datenschutzrechtlichen Maßnahmen bereits im Unternehmen vorhanden? Sind diese mit der DS-GVO kompatibel? Wurde z. B. bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerspruchsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Techniken eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig.
Entsprechen Informationen über die Datenverarbeitung auf den Internetseiten den Informationsvorgaben der DS-GVO? Der Transparenz wird dabei große Bedeutung zugemessen. Insofern ist zu prüfen, wie umfangreich eine öffentliche Information über die wesentlichen Verarbeitungen personenbezogener Daten erfolgen kann, um den Betroffenenrechten auf Information dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO nachweisbar vorhanden sind und eingehalten werden. Zudem gehört zu einem Datenschutzmanagement, dass es eindeutige Regeln gibt, wer welche Rolle in den Ablaufprozessen spielt: Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist? Wie und von wem werden Auskunftsersuchen beantwortet? Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt? Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.
Informationen des Deutscher Industrie- und Handelskammertag e. V. (DIHK)
Eine entsprechende Informationsveranstaltung ist am 08.11.2017 zwischen 17.00 Uhr und 19.00 Uhr in Gotha vorgesehen. Weitere Informationen entnehmen Sie dem Veranstaltungskalender.
Wesentliche Neuerungen:
1. Räumlicher Anwendungsbereich – das Marktortprinzip
Die DS-GVO stellt für ihre räumliche Geltung nicht mehr auf den Sitz eines Unternehmens ab, sondern darauf ob ein Anbieter von entgeltlichen oder unentgeltlichen Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet.
2. Grundsätze der Datenverarbeitung
In Art. 5 DS-GVO werden die bekannten Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Zweckbindung, der Datensparsamkeit, der Richtigkeit, der Begrenzung der Speicherdauer genannt und durch die „Integrität und Vertraulichkeit” der Datenverarbeitung ergänzt.
3. Verzeichnis aller Datenverarbeitungstätigkeiten
Art. 30 DS-GVO ordnet an, dass Verantwortliche und Auftragsdatenverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten unter der Angabe der im Artikel genannten Punkte führen müssen. Dieses Verzeichnis ist nach Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.
4. Erweiterung der Informationspflichten
Der Betroffene ist vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die in den Artikeln genannten Verwendungsgesichtspunkte zu informieren. Im Einzelnen sind dies:
- Name und Kontaktdaten des für die Datenerhebung Verantwortlichen
- die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke und die Rechtsgrundlage der Verarbeitung
- das berechtigte Interesse des Verantwortlichen oder eines Dritten
- Empfänger der personenbezogenen Daten
- die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation
- die voraussichtliche Dauer der Datennutzung
- die betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechte
- das Recht auf jederzeitigen Widerruf der Einwilligung
- das Beschwerderecht bei einer Aufsichtsbehörde
- die Bereitstellung der personenbezogenen Daten
- eine automatische Entscheidungsfindung
5. „Recht auf Vergessenwerden“
In Art. 17 DS-GVO wird das Recht auf Löschung niedergelegt. Es handelt sich insofern nicht um ein Recht auf Vergessen, als dass der Betroffene selbst die Löschung verlangen muss.
6. Personenbezogene Daten von Kindern
Die Einwilligung in die Datenverarbeitung personenbezogener Daten ist erst mit 16 Jahren möglich. Zuvor bedarf es der elterlichen Einwilligung.
7. Datenschutzfolgenabschätzung
Diese muss durchgeführt werden, wenn durch die Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht. Unabhängig vom Risiko ordnet die DS-GVO in Art. 35 für besonders sensible Fälle die zwingende Durchführung der Folgenabschätzung an. Dies sind die automatische Verarbeitung von Daten, Profilbildungsmaßnahmen und die systematische Überwachung öffentlich zugänglicher Bereiche.
8. Prinzip des „One-Stop-Shop“
Das Prinzip des „One-Stop-Shop“, zu Deutsch das Prinzip der einheitlichen Anlaufstelle besagt, dass künftig für grenzüberschreitende Datenvereinbarungen innerhalb der EU grundsätzlich die Aufsichtsbehörde am Sitz der Hauptniederlassung federführend zuständig sein wird.
9. Meldepflicht von „Datenpannen“
Die Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche, bspw. das Unternehmen, ohne schuldhaftes Zögern und möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden, sofern nicht ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeschlossen ist (Art. 33 DS-GVO).
10. Haftung
Bei Verstößen gegen die Grundprinzipien der DS-GVO wird ein Bußgeld von bis zu 20 Mio. EUR oder bis zu vier Prozent des weltweiten letztjährigen Jahresumsatzes angedroht. Für leichtere Verstöße gegen Pflichten aus der DS-GVO ist ein Bußgeld von maximal zehn Mio. EUR oder von zwei Prozent des weltweiten letztjährigen Jahresumsatzes vorgesehen.
Das Merkblatt „Neue Anforderungen für Unternehmen durch die DS-GVO“ der IHK Würzburg-Schweinfurt, incl. einer Checkliste, anhand derer der jeweilige Bedarf zur Vornahme von notwendigen Anpassungen bei Prozessen und dem Umgang mit personenbezogenen Daten im eigenen Unternehmen schneller identifiziert werden kann, finden Sie hier:
Merkblatt – DS-GVO wichtigste Neuerungen und Anforderungen mit Checkliste