AKTUELLE NEWS

Mit der EU-Datenschutzgrundverordnung kommt einiges auf Unternehmen zu!

25. Mai 2016

 

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht worden und tritt damit am 25.05.2016 in Kraft. Anwendbar ist sie damit ab dem 25. Mai 2018.

 

Die Datenschutzgrundverordnung bringt einige neue Regelungen und Verschärfungen mit sich, die nachstehend kurz dargestellt werden.

 

Der Art. 23 DS-GVO verpflichtet Unternehmen zur wirksamen Umsetzung von angemessenen technischen und organisatorischen Maßnahmen unter Berücksichtigung des

  • Stands der Technik und Implementierungskosten,

  • der Art und des Umfangs sowie der Umstände des Zwecks der Verarbeitung,

  • der Eintrittswahrscheinlichkeit und Schwere von Risiken.

 

Datenschutz Folgeabschätzung - Risikobewertung

Aus Art. 23 DS-GVO ergibt sich auch eine Neuerung für Unternehmer. Hat nämlich die Verarbeitung, insbesondere bei Verwendung neuer Technologien, ein hohes Risiko für persönliche Rechte und Freiheiten zur Folge, ist eine Abschätzung der Folgen zum Schutz personenbezogener Daten vorzunehmen. Wir sprechen hier von der klassischen methodischen Bewertung von Informationssicherheitsrisiken.

 

Verzeichnispflicht

Unternehmer müssen gemäß Art. 30 DS-GVO zukünftig ein Verzeichnis schriftlich oder elektronisch mit folgenden Angaben führen:

  • Kontaktdaten des Verantwortlichen bzw Mitverantwortlichen

  • Zwecke der Verarbeitung, Beschreibung der Kategorien Personen/Daten

  • Kategorien von Empfängern (ggfs auch im Drittland)

  • Ggfs Übermittlungen von Daten an Drittländer oder int Organisationen

  • Wenn möglich, vorhergesehene Fristen für Löschung

  • technische und organisatorische Maßnahmen gem Art. 30 (Sicherheit)

 

 

Zweckbindung und Datensparsamkeit

Eine Datenverarbeitung darf gemäß Art. 5 Abs. 1 lit. b DS-GVO nur zu einem festgelegten, eindeutigen und legitimen Zweck erfolgen. Der Zweck muss vor der Datenverarbeitung festgelegt sein. Zudem darf eine Datenverarbeitung gemäß Art. 5 Abs. 1 lit. c DS-GVO nur in dem Umfang stattfinden, in welchem sie notwendig ist, um den angestrebten Zweck zu erfüllen. Durch diese Regelung bleibt der Grundsatz der Datensparsamkeit erhalten.

 

Anwendungsbereich der Verordnung

Das europäische Datenschutzrecht gilt für alle Unternehmen, die in der EU tätig sind, unabhängig davon, ob sie ihre Niederlassung in der EU haben oder nicht. Auch gilt das Datenschutzrecht unabhängig davon, wo die Verarbeitung der Daten dann stattfindet, wenn Daten europäischer Bürger betroffen sind.

 

Rechtmäßigkeit einer Datenverarbeitung in Zusammenhang mit Kindern

Eine Datenverarbeitung ist nur rechtmäßig, wenn der Betroffene in die Verarbeitung eingewilligt hat oder andere Voraussetzungen des Art. 6 DS-GVO vorliegen. Kinder unter 16 Jahren müssen gemäß Art. 8 Abs. 1 UAbs. 1 DS-GVO die Erlaubnis der Eltern einholen, wenn sie in die Verwendung ihrer Daten bei einem Angebot von Diensten der Informationsgesellschaft einwilligen wollen. Es bleibt den Mitgliedsstaaten jedoch gemäß Art. 8 Abs. 1 UAbs. 2 DS-GVO vorbehalten, durch Rechtsvorschrift eine niedrigere Altersgrenze vorzusehen, die allerdings nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Hier bleibt den Mitgliedsstaaten alos noch ein gewisser Spielraum.

 

Stärkung der Betroffenen durch Informationspflichten und Betroffenenrechte

 

Informationspflichten des Datenverarbeiters

 Datenverarbeiter sind verpflichtet einfach, knapp und verständlichen sowie kostenlos darüber zu informieren, wer welche Daten woher und zu welchen Zwecken verarbeitet und an wen diese Daten weitergegeben werden. Wenn ein Unternehmer eine Datenverarbeitung auf sein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO) stützen will, muss er dieses Interesse zudem benennen. Die Informationspflichten umfassen auch Informationen darüber, ob Profiling durchgeführt wird und welche Logik bzw. Methodik angewendet wird.

 

Data Breach Notification - Benachrichtung bei Datenklau/-missbrauch

Mit der DS-GVO soll schneller und ausführlicher informiert werden, wenn Daten gehackt wurden. Darüberhinaus muss der Verarbeiter den Betroffenen über Berichtigungs-, Lösch-, und Widerrufsfristen informieren. Auch ob die Angabe von Daten erforderlich oder freiwillig ist, muss ersichtlich sein.

 

Betroffenenrechte

Die Rechte des Betroffenen einer Verarbeitung personenbezogener Daten werden gestärkt. Nunmehr besteht ein sogenanntes Auskunftsrecht (Art. 15 DS-GVO), ein Berichtigungsrecht (Art. 16 DS-GVO) ein Recht auf Löschung (Art. 17 DS-GVO), ein Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), und ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Unternehmen müssen für diese Betroffenenrechte entsprechende betriebliche Vorkehrungen und Prozesse gestalten.

 

Schadensersatz

Die von der Verarbeitung betroffenen Personen wird durch Art. 82 Abs. 1 DS-GVO ein Recht auf Schadensersatz bei materiellen und immateriellen Schäden gewährt. Zudem bleibt es den Mitgliedsstaaten überlassen strafrechtliche Maßnahmen beschließen, Art. 84 DS-GVO.

 

Massive Anhebung von Strafen

Die Sanktionen bei Verstößen gegen die DS-GVO wurden deutlich erhöht. Liegt ein Verstoß gegen datenschutzrechtliche Grundsätze oder die Rechte des Betroffenen vor, so können gemäß Art. 83 Abs. 5 DS-GVO Strafen in Höhe von bis zu 20 Mio. EUR oder 4% des Weltjahresumsatzes ausgesprochen werden.

 

 

 

Für Unternehmer sind die Vorgaben der DS-GVO ab 25.05.2018 zwingend bei der Verarbeitung von personenbezogenen Daten einzuhalten und die o.g. Prozesse und organisatorischen betrieblichen Vorkehrungen zu treffen.

 

 

Hier gehts zur EU-Datenschutzgrundverordnung:

http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1462345886854&uri=OJ:JOL_2016_119_R_0001

Mit einem Anruf sind Sie besser beraten: +43 (0)463 276376

by secriso Consulting GmbH

Österreich | Austria

All rights reserved.

Social Web: