Der Countdown l├Ąuft – Gut vorbereitet auf das Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018?

Der Countdown l├Ąuft – Gut vorbereitet auf das Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018?

Posted by ramon_g | 5. Dezember 2017 | Datenschutz, Digitalisierung
Photo by Matthew Henry on Unsplash

Der Countdown l├Ąuft. In weniger als sechs Monaten ist es soweit. Denn am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Zeitgleich gilt das neue Bundesdatenschutzgesetz. Die geplante e-Privacy-Verordnung wird zur Komplexit├Ąt der Materie beitragen. Die DS-GVO beinhaltet f├╝r Unternehmen aller Branchen umfangreiche neue Anforderungen. Die Verordnung sieht vor allem folgende Neuerungen vor:

Rechenschaftspflicht (Art. 5 DS-GVO)

Zwar gelten die Grunds├Ątzen der Datenverarbeitung im Wesentlichen fort. Allerdings wird es k├╝nftig nicht ausreichen, diese Grunds├Ątze einzuhalten, sondern deren Einhaltung muss auch nachgewiesen werden.

Erweiterung der Informations- und Betroffenenrechte (Art. 13, 14 DS-GVO)

Entsprechend dem Transparenzgebot m├╝ssen die von der Verarbeitung personenbezogener Daten betroffenen Personen ├╝ber eine Vielzahl von Angaben informiert werden. Gegen├╝ber dem Bundesdatenschutzgesetz werden die Informationspflichten deutlich erweitert (Artikel 13, 14 DS-GVO), z.B. um die Angabe des Zwecks und der Rechtsgrundlage der Datenverarbeitung, berechtigte Interessen des Verantwortlichen oder Dritten, Empf├Ąnger der Daten, voraussichtliche Dauer der Datennutzung, Hinweis auf Betroffenenrechte und Beschwerderechte.

Dar├╝ber hinaus werden Unternehmen verpflichtet, ein Konzept mit entsprechenden Fristen zur L├Âschung der Daten zu entwickeln.

Rechte der betroffenen Personen ÔÇô Beschwerdemanagement (Art. 15-21 DS.GVO)

Nach der DS-GVO stehen betroffenen Personen neben dem Auskunftsrecht, das deutlich umfangreicher als bisher ist, ein Recht auf Berichtigung, k├╝nftig auch das Recht auf L├Âschung bzw. „Vergessenwerden“, ein Recht auf Datenportabilit├Ąt, das Recht auf Einschr├Ąnkung der Verarbeitung sowie ein Widerspruchsrecht zu.

Die in der DS-GVO geregelten Betroffenenrechte sind in den unternehmensinternen Abl├Ąufen abzubilden. Zudem empfiehlt es sich, ein entsprechendes Beschwerdemanagement einzurichten, um diese Anspr├╝che erf├╝llen zu k├Ânnen.

Erg├Ąnzung der Datenschutzerkl├Ąrung (Art. 13 DS-GVO)

Durch die DS-GVO erh├Âht sich der Umfang der Pflichtinformationen, die eine Datenschutzerkl├Ąrung auf einer Webseite enthalten muss. Die bisherige Datenschutzerkl├Ąrung muss um den umfangreichen Katalog an Pflichtinformationen in Artikel 13 Abs. 1 DS-GVO (s.o.) aktualisiert werden.

Vertragsmanagement (Art. 28, 29 DS-GVO)

Bei Vertr├Ągen zur Auftragsdatenverarbeitung, zur ├ťbermittlung von personenbezogenen Daten und sonstigen Vertr├Ąge, die die Verarbeitung personenbezogener Daten beinhalten, ist sicherzustellen, dass diese den Anforderungen der DS-GVO entsprechen.

Pflichten bei der Auftragsdatenverarbeitung (Art. 28, 30 DS-GVO)

Die DS-GVO enth├Ąlt neue Dokumentationspflichten bei der Auftragsdatenverarbeitung: Der Verantwortliche (bisher Auftraggeber) sowie der Auftragsverarbeiter (bisher Auftragnehmer) sind verpflichtet, ein Verzeichnis ├╝ber alle Verarbeitungst├Ątigkeiten zu f├╝hren. Des Weiteren sind Weisungen bei Auftragsverarbeitungsverh├Ąltnissen sowie die rechtzeitige Meldung von Datenschutzvorf├Ąllen zu dokumentieren.

Datenschutz-Folgenabsch├Ątzung (Art. 35 DS-GVO) – Bei Verarbeitungsvorg├Ąngen, die ein hohes Risiko f├╝r die Rechte nat├╝rlicher Personen bergen (wie beispielsweise bei systematischem und extensivem Profiling oder bei der systematischen Verarbeitung von Daten in gro├čem Umfang), muss der Verantwortliche vorab eine Absch├Ątzung der Folgen der vorgesehenen Verarbeitungsvorg├Ąnge f├╝r den Schutz personenbezogener Daten durchf├╝hren und in bestimmten F├Ąllen die Aufsichtsbeh├Ârde vor der Verarbeitung konsultieren.

Einwilligungsmanagement (Art. 7 DS-GVO)

Zwar gelten bis zum 25. Mai 2017 erteilte Einwilligungen grunds├Ątzlich fort (Erw├Ągungsgrund 171 DS-GVO). Allerdings sind bei der Einholung von Einwilligung ab dem 25. Mai 2017 die hohen Anforderungen der DS-GVO an die Einwilligung zu beachten. Hier empfiehlt es sich, zu pr├╝fen und zu dokumentieren, an welchen Stellen personenbezogene Daten auf welcher Grundlage verarbeitet werden, um bestehende Prozesse den neuen Anforderungen anzupassen. Dabei ist zu beachten, dass eine Erkl├Ąrung dann nicht verbindlich ist, wenn sie einen Versto├č gegen diese Verordnung darstellt. So besteht eine Nachweispflicht f├╝r das Vorliegen der Einwilligung.

Haftung (Art. 82 DS-GVO)

K├╝nftig werden nat├╝rliche Personen nach der DS-GVO das Recht haben, Schadenersatzanspr├╝che gegen den Verantwortlichen oder den Auftragsverarbeiter geltend zu machen. Zudem k├Ânnen der Verantwortlicher und der Auftragsverarbeiter im Rahmen der Auftragsdatenverarbeitung gesamtschuldnerisch haften.

Neu ist auch, dass sie nicht nur materiellen, sondern auch immateriellen Schadenersatz (z.B. Schmerzensgeld) verlangen k├Ânnen.

Sanktionen (Art. 83 DS-GVO)

Bei Verst├Â├čen gegen die Regelungen der DS-GVO werden die Sanktionen k├╝nftig drastisch auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes erh├Âht. Mit der Festsetzung der Bu├čgelder soll eine abschreckende Wirkung erzielt werden (Erw├Ągungsgrund 151 DS-GVO).

Vorbereitung auf die Datenschutz-Grundverordnung

Zur Vorbereitung auf das Inkrafttreten der DS-GVO empfiehlt es sich eine Bestandsaufnahme und Risikoanalyse der Verarbeitungen von personenbezogenen Daten vorzunehmen. Auf deren Grundlage sollte dann ein Abgleich des Ist-Zustandes mit dem k├╝nftigen Soll-Zustand (GAP-Analyse) erstellt werden, um so die betroffenen Prozesse identifizieren, ├╝berpr├╝fen und anpassen zu k├Ânnen. Des Weiteren sollten die Mitarbeiter im Umgang mit den neuen Regelungen durch Schulungen sensibilisiert werden.

Eine gute Vorbereitung auf die DS-GVO sch├╝tzt vor Abmahnungen und Bu├čgeldern von Verbraucherverb├Ąnden bzw. Aufsichtsbeh├Ârden.

Schalast unterst├╝tzt Sie gerne bei der Umsetzung der Vorgaben der DS-GVO.

Photo by Matthew Henry on Unsplash

Related Blogs

Posted by ramon_g | 15. August 2017
Die Kollegen Dr. Udo Kornmeier und Anne Baranowski, LL.M. befassen sich in diesem Interview in der Frankfurter Allgemeinen Zeitung vom 8. August 2017 mit Haftungs- und Datenschutzfragen bei Smart Homes befasst. Den Beitrag erreichen Sie über diesen...
Posted by ramon_g | 13. Februar 2017
Daten sind eine wertvolle Ressource f├╝r das Wirtschaftswachstum geworden. Der Rohstoff des 21. Jahrhunderts. Eine Datenanalyse erleichtert Entscheidungsprozesse und die Vorhersage k├╝nftiger Entwicklungen. Mit der Vernetzung von Daten in fast...
Posted by ramon_g | 7. Februar 2017
Internet 4.0, Digitalisierung, Artificial Intelligence, Virtual Realitiy, Data Mining, Cloud Computing, Smart Home oder Cyber Serurity sind Begriffe, die unseren privaten und beruflichen Alltag pr├Ągen. Die sch├Âne neue digitale Welt...