EU-DSGVO 2018 - Was ändert sich?

Seit  Mai 2018 gilt die neue Datenschutz-Grundverordnung. Haben Sie allles gesetzeskonform umgesetzt? Was ändert sich für Unternehmen? Was gilt es zu beachten? Wo drohen Bußgelder ?

Jetzt mehr erfahren

"Wir wissen, wo du bist. Wir wissen, wo du warst. Wir wissen mehr oder weniger, worüber du nachdenkst."

- Eric Schmidt (amerikanischer Informatiker, ehemals bei Google)

Allgemeines zur neuen DSGVO

4 wichtige Punkte der neuen Datenschutzgrundverordnung

  • Die neue Datenschutz-Grundverordnung vereinheitlicht das EU-weite Datenschutzrecht mit wenigen Ausnahmen.
  • Die neuen Verordnungen werden dem bestehenden Bundesdatenschutzgesetz vorgeschaltet.
  • Die Verordnungen sind strikter und sehen höhere Bußgelder vor als bislang.
  • Die Verordnungen dienen dem erhöhten Schutz des Rechts auf Privatsphäre (siehe Zitat von Eric Schmidt).

Datenverarbeitung: Wann erlaubt & wann nicht?

Wann dürfen personenbezogene Daten verarbeitet werden und wann nicht? Rechtmäßig ist die Verarbeitung:

  • wenn die betroffende Person dies ausdrücklich eingewilligt hat.
  • zur Erledigung einer Aufgabe des öffentlichen Interesses.
  • bei Ausübung öffentlicher Gewalt.
  • zur Erfüllung eines Vertrags oder vorvertraglicher Prozesse.
  • zur Erfüllung einer gesetzlichen Pflicht.
  • zum Schutz von lebenswichtiger Interessen.
  • bei Erforderlichkeit durch Interessensabwägungen.

Grundsatz: Alles ist verboten, sofern es nicht explizit erlaubt ist.

DSGVO ab Mai 2018: Rechte der Betroffenden

Aus wirtschaftlicher Perspektive lassen sich die Änderungen grundsätzlich in Rechte der Betroffenden und Pflichten für Unternehmen einteilen. Nachfolgend ein Auszug der Rechte der Betroffenden.

Auskunftsrecht

Durch die neue DSGVO wird das Auskunftsrecht von Betroffenden gestärkt. Die Auskunft muss nun auf Wunsch auch auf elektronischer Form geschehen.

Unter anderem besteht das Recht auf Auskunft zu:

  • den personenbezogenen Daten selbst
  • Herkunft der Daten
  • Zwecke der Verarbeitung
  • Übermittlungen
  • etc.

Recht auf Löschung

Datenlöschung darf u.a. gefordert werden, wenn:

  • keine weitere Notwendigkeit zur Speicherug besteht.
  • die Einwillung der Datenverarbeitung widerrufen worden ist.
  • die Daten unrechtmäßig erhoben wurden.
  • eine Rechtspflicht nach nationalem oder EU-Recht besteht.

Das Recht auf Löschung erlischt, wenn:

  • das Speichern einer rechtlichen Verpflichtung dient.
  • das öffentliche Interesse das Löschen überwiegt.
  • Archivierungen für Wissenschaft entgegenstehen.
  • das Recht auf freie Meinungsäußerung überwiegt.

Datenübertragbarkeit

Der Betroffende hat das Recht, seine eigenen Daten zu einem anderen Anbieter mitnehmen zu können. Das heißt, Anbieter müssen die Daten, die durch den Betroffenden selbst angegeben worden sind, so aufbereiten, dass diese strukturiert und durch Maschinen leserlich sind.

Das Recht der Datenportabilität ist durch die DSGVO neu.

Widerspruch bei autom. Einzelfallentscheidungen

Bei automatisierten Entscheidungen, die nicht von einem Menschen getroffen wurden, hat der Betroffende das Recht Widerspruch einzulegen. Entscheidungen dieser Art sind zum Beispiel Annahmen von Online-Krediten oder Online-Einstellungsverfahren.

Ausnahmen gibt es aber auch: zum Beispiel, wenn der Betroffende eine ausdrückliche Einwillung zur automatisierten Entscheidung etwa für zur Erfüllung eines Vertrags zustimmt.

DSGVO ab Mai 2018: Pflichten für Unternehmen

Aus wirtschaftlicher Perspektive lassen sich die Änderungen grundsätzlich in Rechte der Betroffenden und Pflichten für Unternehmen einteilen. Nachfolgend ein Auszug der Pflichten für Unternehmen.

Datenschutz (tOM)

TOM = Technischer und organisatorischer Schutz der Daten hinsichtlich Datenschutz und Datensicherheit. Der Umfang sowie konkrete Maßnahmen für diese Pflicht ergeben sich auch aus den geschätzten Wahrscheinlichkeiten des Eintritts sowie der Schwere der Risiken für die Persönlichkeitsrechte und -freiheiten.

Auch der technische Fortschritt spielt in der Bewertung eine Rolle.

Verzeichnisführung

Das bisherige "Verfahrensverzeichnis" findet auch in der neuen DSGVO Anwendung in ähnlicher Form unter anderem Namen. Mehr Informationen zum neuen "Verzeichnis der Verarbeitungstätigkeiten" finden Sie unter dem Link.

Zusätzliche Angaben des neuen Verzeichnisses sind u.a.:

  • Kontaktdaten des Datenschutzbeauftragten
  • Löschfristen
  • Technische und organisatorische Maßnahmen zum Datenschutz (TOM)

Meldepflichten

mit der DSGVO kommen zu den bisherigen Informations- und Meldepflichten noch weitere hinzu. Bei Verletzung des Schutzes personenbezogener Daten muss eine Meldung gemacht werden, mit Ausnahme von sehr unwahrscheinlichen Risiken für Freiheiten uns Persönlichkeitsrechte.

Innerhalb von 72 Stunden müssen umfangreiche Infos zum Ereignis der Aufsichtsbehörde übermittelt werden sowie den betroffenden Personen selbst (mit Ausnahme von einigen Fällen wie z.B. die vorherige Verschlüsselung der Daten).


Datenschutzbeauftragter

Ein betrieblicher Datenschutzbeauftragter (ob extern oder intern) muss immer dann bestellt werden, wenn die Kerntätigkeit des Unternehmens bzw. des Auftragsdatenverarbeiters:

  • aus Verarbeitungsvorgängen besteht, die (nach Art, Umfang und Zweck) eine Kontrolle benötigen.
  • sensible Daten verarbeitet.

Weitere Gründe zur Ernennung eines DSB sind:

  • 10 oder mehr mit der Datenverarbeitung beschäftigte Personen
  • Verarbeitung von Daten, die der Datenschutzfolgen-abschätzung unterliegen (z.B. bei Gesundheitsdaten)
  • Daten dienen der (anonymisierte) Übermittlung oder der Markt- / Meinungsforschung

Möchten Sie mehr zur DSGVO Wissen?

Gerne stehen wir mit unserem Wissen für Ihre Nachfragen bereit. Wir freuen uns auf Ihre Anfrage.

Vielen Dank.

 
Dieses Feld leer lassen:
Bitte beachten Sie unsere Datenschutzhinweise.