Fachartikel & News

Einführung in die EU-DSGVO

Am 25. Mai 2018 tritt die neue EU-Daten­schutz­grund­ver­ordnung (DSGVO) in Kraft. Dadurch werden unmit­telbar das bisherige Bundes­da­ten­schutz­gesetz (BDSG) und die EU-Daten­schutz­richt­linie (Richt­linie 95/46/EG) abgelöst.


Zeitgleich tritt ein dazuge­hö­riges deutsches Ergän­zungs­gesetz (Daten­schutz-Anpas­sungs- und -Umset­zungs­gesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifi­ziert und konkre­ti­siert.

Die DSGVO wird durch die noch in Abstimmung befind­liche EU-E-Privacy-Verordnung, die ebenfalls am 25. Mai 2018 in Kraft treten soll und Internet- und Teleme­di­en­dienste betrifft, ergänzt.

Keine Änderung der Grund­prin­zipien

Die DSGVO schreibt die bekannten daten­schutz­recht­lichen Grund­prin­zipien fort. Die Grund­sätze des „Verbots mit Erlaub­nis­vor­behalt“, der „Daten­spar­samkeit“, der „Zweck­bindung“ und der „Trans­parenz“ haben auch zukünftig Bestand.

Im Mittel­punkt des Daten­schutzes steht auch in Zukunft die Daten­si­cherheit. So kann eine Pseud­ony­mi­sierung oder Verschlüs­selung erfor­derlich sein. Veraltete Verschlüs­se­lungs­stan­dards können sogar mit Bußgeldern in Höhe von bis zu 2 % des Vorjah­res­um­satzes belegt werden. Daten­ver­ar­beitung und auch Auftrags­ver­ar­beitung ist in Dritt­staaten weiterhin nur zulässig, wenn dort ein angemes­senes Daten­schutz­niveau gewähr­leistet ist.

Betrof­fe­nen­rechte werden durch Trans­parenz, proaktive Benach­rich­ti­gungs­pflichten, Auskunfts-, Berich­ti­gungs- und Löschungs­an­sprüche gewähr­leistet. Eine besondere Ausprägung des Löschungs­an­spruchs stellt das „Recht auf Verges­sen­werden“ dar.

Wichtige Neuerungen

Jede Stelle muss zukünftig nachweisen können, dass sie ein Gesamt­konzept zur Einhaltung des Daten­schutzes besitzt, das sie regel­mäßig kontrol­liert und weiter­ent­wi­ckelt.

Nach der DSGVO müssen Unter­nehmen perso­nen­be­zogene Daten auf Antrag in einem gängigen und maschi­nen­les­baren Format entweder an den User oder gleich an ein anderes Unter­nehmen übergeben können. Neben diesem Recht auf Daten­über­trag­barkeit werden Betroffene ein allge­meines Wider­spruchs­recht gegen eine an sich recht­mäßige Verar­beitung von perso­nen­be­zo­genen Daten, die im öffent­lichen Interesse liegt, in Ausübung öffent­licher Gewalt oder aufgrund des berech­tigten Inter­esses des Verant­wort­lichen oder eines Dritten erfolgte, erhalten. Der Verant­wort­liche darf dann die Daten nur noch verar­beiten, wenn er zwingende berech­tigte Gründe für die Verar­beitung nachweisen kann, die die Inter­essen, Rechte und Freiheiten des Betrof­fenen überwiegen.

Die DSGVO stärkt die Rechte der Aufsichts­be­hörden. Für inter­na­tionale Organi­sa­tionen ist nur noch die Daten­schutz-Aufsichts­be­hörde an ihrem Hauptsitz in der EU zuständig („feder­füh­rende Aufsichts­be­hörde“). Betroffene können sich an ihre jeweils nächst­ge­legene Aufsichts­be­hörde wenden, die das Anliegen dann weiter­leiten muss. Die Behörden müssen sich unter­ein­ander abstimmen.

Auch die Sankti­ons­mög­lich­keiten der Aufsichts­be­hörden werden erheblich ausge­dehnt: Der Bußgeld­rahmen wird deutlich erhöht und kann bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahres­um­satzes betragen, je nachdem, welcher Betrag höher ist.

Neu im Daten­schutz-Schadens­recht sind der Direkt­an­spruch des Betrof­fenen gegen den Auftrags­ver­ar­beiter und eine Beweis­last­umkehr für Daten­schutz­ver­let­zungen.

Heraus­ra­gende Bedeutung des techni­schen und organi­sa­to­ri­schen Daten­schutzes haben die Regelungen zu Privacy by Design und Privacy by Default: Daten­schutz muss integraler Bestandteil der Entwicklung sein (Daten­schutz durch Technik­ge­staltung). Zusätzlich muss der maximale Daten­schutz die Grund­ein­stellung sein und nicht mehr nur eine Option (Daten­schutz­freund­liche Vorein­stel­lungen).

Auch die Auftrags­da­ten­ver­ar­beitung wird europaweit einheitlich geregelt und angepasst. Eine vertrag­liche Regelung ist weiterhin als Grund­vor­aus­setzung für die Verar­beitung perso­nen­be­zo­gener Daten erfor­derlich. Neu ist, dass auch der Auftrags­ver­ar­beiter ein „Verzeichnis der Verar­bei­tungs­tä­tig­keiten“ führen muss.

Auch in Zukunft müssen alle Unter­nehmen, die mindestens zehn Personen mit automa­ti­sierter Daten­ver­ar­beitung beschäf­tigen, einen Daten­schutz­be­auf­tragten bestellen. Bei einer umfang­reichen Verar­beitung besonders sensi­tiver perso­nen­be­zo­gener Daten greift die Bestell­pflicht auch dann, wenn das entspre­chende Unter­nehmen unter der 10-Personen-Grenze liegt.

Zukünftig müssen alle Daten­schutz­ver­let­zungen gemeldet werden, sofern ein Daten­schutz­risiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichts­be­hörde einge­reicht werden. Auch die Betrof­fenen sind „ohne unange­messene Verzö­gerung“ zu benach­rich­tigen.

Das bisherige Instrument der „Vorab­kon­trolle“ weicht dem Konzept der Daten­schutz-Folgen­ab­schätzung. Beinhaltet die Art der Daten­ver­ar­beitung ein hohes Risiko für die Rechte und Freiheiten, muss das Unter­nehmen vor Beginn der Daten­ver­ar­beitung eine Daten­schutz-Folgen­ab­schätzung vornehmen.

Fazit

Die DSGVO erhöht die recht­lichen, betrieb­lichen und technisch-organi­sa­to­ri­schen Anfor­de­rungen an den Daten­schutz. Hingegen werden die Verbrau­cher­rechte gestärkt.


Bei Fragen sprechen Sie uns gerne an.


This is a unique website which will require a more modern browser to work! Please upgrade today!