Security News

Datenschutz: EU-Datenschutz-Grundverordnung: Das müssen Sie wissen


EU-Datenschutz-Grundverordnung: Das müssen Sie wissen

 

Nach langen Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen. Die DSGVO wird übrigens ab 25. Mai 2018, also in etwas mehr als einem Jahr, anwendbar sein.

 

Ziele und Grundsätze

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

 

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

 

Die Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf.

 

Pflichten für Unternehmen

 

Die Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz. Eine positive Neuerung ist z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Allerdings könnten andere Pflichten wiederum zu einem deutlichen Mehraufwand seitens der Unternehmen führen. Beispielsweise könnte die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschliessende Konsultation der zuständigen Aufsichtsbehörde zu einem vermehrten Mass an Bürokratie führen. Ob diese dann wirklich noch positive Auswirkungen für Verbraucher und Unternehmen hat, ist derzeit aber kaum abzusehen.

 

Internationale Datentransfers ins Ausland

 

Der Transfer von personenbezogenen Daten in Staaten ausserhalb der EU/des EWA (sogenannten Drittstaaten) ist problematisch. Dies ist im Rahmen der Richtlinie 95/46/EG (Datenschutz-Richtlinie) der Fall und wird auch mit Inkrafttreten der Datenschutz-Grundverordnung so bleiben. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Eine Ausnahme besteht dann, wenn die EU-Kommission für den betreffenden Staat ein solches festgestellt hat. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen ein angemessenes Datenschutzniveau zu gewährleisten oder ein solches verbindlich festgestellt wurde.

 

Die DSGVO bringt aber nicht nur Mehrarbeit und zusätzlichen Einsatz von Ressourcen mit sich, sondern hat auch einige positive Seiten. Nachfolgend sind einige aufgeführt:

 

Die Rolle der Aufsichtsbehörden

 

Mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) ändert sich nicht nur die gesetzliche Ausgestaltung des Datenschutzrechts. Auch Aufgaben, Zuständigkeit und Befugnisse der Aufsichtsbehörden wurden teilweise überarbeitet. Daraus ergeben sich für die praktische Handhabung des Datenschutzes ganz neue Chancen, aber auch Probleme.

 

Anforderungen an eine Einwilligung

 

Die Einwilligung in die Verarbeitung seiner personenbezogenen Daten durch den Betroffenen ist seit jeher zentraler Bestandteil des Datenschutzrechts. Aufgrund des Grundrechts der informationellen Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält.

 

Datenschutz-Vertreter für Unternehmen

 

Bislang wenig beachtet wird durch die EU-DSGVO auch ein neues Rechtsinstitut eingeführt: der EU-Vertreter bzw. Vertreter in der Union. Seine Existenz hängt eng mit dem durch die EU-DSGVO neu eingeführten Marktortprinzip zusammen. Alle Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, müssen grundsätzlich einen EU-Vertreter bestellen. Dieser soll insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen und stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

 

Betrieblicher Datenschutzbeauftragter

 

Das Modell Datenschutzbeauftragter ist z.B. in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der Datenschutz-Grundverordnung wird eine solche Pflicht auch erstmals europaweit für Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf, eingeführt. Durch die Öffnungsklauseln können die Länder zwar nationale Sonderregelungen für die Bestellung eines betrieblichen Datenschutzbeauftragten schaffen. Nichtsdestotrotz gelten daneben die Anforderungen der Datenschutz-Grundverordnung.

 

Datensicherheit

 

Mit der DSGVO ändern sich die Vorgaben zur Datensicherheit und somit auch die der technischen und organisatorischen Massnahmen. Manche Begriffe werden durch die Verordnung noch abstrakter, als sie es bisher gewesen sind, einige Vorgehensweise ähneln der jetzigen Handhabung und wiederum andere Anforderungen, wie der Stand der Technik, Belastbarkeit oder data protection by default, sind neu. Auf Unternehmen kommt daher eine Menge Arbeit zu. Neue Verfahren müssen etabliert und Prozesse entsprechend der Verordnung angepasst werden.

 

Informationspflichten

 

Die Datenschutz-Grundverordnung führt für Unternehmen und Verantwortlichen eine Reihe von neuen Informationspflichten ein. Der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, -verarbeitung oder -nutzung, anhand den zur Verfügung gestellten Informationen, zu überprüfen.

 

Aufgaben des Datenschutzbeauftragten

 

Mit der Datenschutz-Grundverordnung erweitert sich der Aufgabenkreis des Datenschutzbeauftragten. Damit verbunden ist eine Aufwertung der Position im Unternehmen, unter Umständen aber auch ein gesteigerter Haftungsumfang für Datenschutzverstösse des betreuten Unternehmens. Bis zur Anwendbarkeit der Datenschutz-Grundverordnung sollten Mitarbeiter und Datenschutzbeauftragte hinsichtlich der gesteigerten Bedeutung des Datenschutzes für Unternehmen sensibilisiert werden.

 

Datenschutz-Folgenabschätzung

 

Dass es eine gute Idee ist, eine Abschätzung der Folgen vor dem Einsatz einer bestimmten Technologie durchzuführen, hat sich bereits in den 1960er Jahre in den Bereichen Gesundheit und Umwelt durchgesetzt. Mit der Datenschutz-Grundverordnung hat der europäische Gesetzgeber diese Überlegung aufgegriffen. Fortan sind Unternehmen unter bestimmten Voraussetzungen verpflichtet eine Datenschutz-Folgenabschätzung vorzunehmen.

 

Data Breach Notification

 

Schon heute müssen Unternehmen, unter bestimmten Voraussetzungen, Aufsichtsbehörde und Betroffenen eine Data Breach Notification zukommen lassen. Nämlich dann, wenn Unberechtigte vermutlich oder erwiesenermassen Zugang zu „Risikodaten“ hatten. Eine weitere Voraussetzung ist, dass die Datenpanne zu einer schwerwiegenden Beeinträchtigung der Rechte oder schutzwürdigen Interessen des Betroffenen führen könnte. Die Datenschutz-Grundverordnung wird diese Anforderungen und etwaige Sanktionen noch deutlich verschärfen. Die Bedeutung der Data Breach Notification und deren Anzahl wird dadurch zwangsläufig steigen.

 

Verzeichnis von Verarbeitungstätigkeiten

 

Mit der Datenschutz-Grundverordnung muss ein Unternehmen nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Dies ist nur eine von mehreren, neuen Vorgaben zur Dokumentationspflicht. Bei der Einhaltung aller gesetzlichen Vorgaben wird das Verzeichnis aber eine tragende Rolle spielen. Denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.

 

Aufbau eines Datenschutzmanagementsystems

 

Neben dem angesprochenen Verzeichnis von Verarbeitungstätigkeiten finden sich in der Datenschutz-Grundverordnung eine Vielzahl von Normen, die eine Dokumentierung der getroffenen Datenschutzmassnahmen fordern. Daneben schafft die DSGVO weitere Prozesse, die etabliert, und Aufgaben die wahrgenommen werden müssen. Daher bietet sich ein Datenschutzmanagement an, um die Einhaltung aller Vorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren.

 

One Stop Shop

 

Bei grenzüberschreitender Datenverarbeitung gilt demnächst nach Art. 56 Abs. 1 DSGVO das One Stop Shop Prinzip. Demnach ist nur noch eine federführende Aufsichtsbehörde für die Beurteilung datenschutzrechtlicher Belange eines Unternehmens zuständig. Damit entfällt für internationale Unternehmen eine Menge Bürokratie.

 

Datenschutzbeauftragter-info.de; Dr. Datenschutz; 01.2017
https://www.datenschutzbeauftragter-info.de/fachbeitraege/eu-datenschutz-grundverordnung/

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung