Neue EU-Datenschutzgrundverordnung – Teil II – Wichtiges für Unternehmen

19. Januar 2018
[Gesamt: 0   Durchschnitt:  0/5]
1371 mal gelesen
0 Shares
fiktives PKW-Nummernschild mit dem Aufdruck DS GVO 2018, Datenschutz Grundverordnung

Nach unserem Teil I der Reihe „Neue EU-DSGVO“, in dem wir Sie bereits allgemein über die bevorstehenden Änderungen durch die DSGVO informiert haben, erwarten Sie in diesem Beitrag wichtige Details, die Unternehmen künftig zu beachten haben. Denn vor dem Hintergrund, die von der Erhebung, Verarbeitung und Übermittlung personenbezogener Daten Betroffen (noch) besser zu schützen, werden künftig vor allem die Unternehmen als Verantwortliche verstärkt in die Pflicht genommen. Das heißt konkret: Sie haben nicht nur umfassendere Informationspflichten zu beachten, sondern darüber hinaus auch entsprechende Maßnahmen zu ergreifen, um ein möglichst hohes Datenschutzniveau zu gewährleisten und Risiken vorzubeugen.

Informationspflichten

Mit der neuen DSGVO gilt es für die Verantwortlichen zahlreiche und mittlerweile umfassendere Informationspflichten zu beachten, die insbesondere in Rahmen der jeweiligen Datenschutzerklärung zu berücksichtigen sind. Dabei sind die Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Nach Art. 13 DSGVO haben die Unternehmen den Betroffenen zum Zeitpunkt der Erhebung personenbezogener Daten unter anderem den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters ebenso wie die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, mitzuteilen. Auch über die Dauer der Daten-Speicherung, mindestens jedoch über die Kriterien für die Festlegung dieser Dauer, ist der Betroffene zu informieren

Darüber hinaus muss der Betroffene auf die ihm zustehenden Rechte und die Möglichkeit der Geltendmachung derselben hingewiesen werden. Welche dies konkret sind, können Sie im dritten Teil unserer Reihe „Neue EU-DSGVO“ nachlesen.

Unerheblich ist in diesem Zusammenhang, ob die personenbezogenen Daten direkt beim Betroffenen selbst oder anderweitig erhoben werden, denn auch für den zweitgenannten Fall sieht die DSGVO in Art. 14 einen umfangreichen Katalog mit Informationspflichten für die Verantwortlichen vor.

Sollte die Datenschutzerklärung noch nicht alle in Art. 13 und 14 DSGVO aufgeworfenen Informationen beinhalten, so besteht Handlungsbedarf. Mandanten, welche unser Flatrate-Paket gebucht haben, erhalten soweit nötig automatisch entsprechend angepasste Rechtstexte.

Wann erfolgt die Verarbeitung personenbezogener Daten rechtmäßig?

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn die in Art. 6 DSGVO angeführten Voraussetzungen erfüllt sind. Es ist demnach zwingend erforderlich, dass der Verarbeitungsprozess auf eine der dort genannten Rechtsgrundlagen gestützt werden kann. Darüber sowie über den Zweck der Verarbeitung hat das Unternehmen den Betroffenen zu informieren.

Hängt die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO von einer Einwilligung des Betroffenen ab, so hat der Verantwortliche dafür Sorge zu tragen, dass diese Einwilligung entsprechend der in Art. 7 festgelegten Vorgaben erfolgt. Insbesondere muss er einen Nachweis über die Einwilligung führen können, den Betroffenen in verständlicher und leicht zugänglicher Form aufgeklärt und auf seine Möglichkeit des Widerrufs hingewiesen haben. Bei der Einwilligung eines Kindes kann es – sofern es das sechzehnte Lebensjahr noch nicht vollendet hat – erforderlich sein, dass eine Zustimmung der Eltern erteilt wird (vgl. Art. 8 DSGVO).

Handelt es sich bei den personenbezogenen Daten gar um besonders sensible Daten nach Art. 9 DSGVO, so gilt auch hier das Regel-Ausnahme-Modell mit der Maßgabe, dass die Voraussetzungen für eine rechtmäßige Verarbeitung deutlich enger sind als bei weniger sensiblen Daten.

Welche Maßnahmen haben die Verantwortlichen zu ergreifen?

Um den gesteigerten Anforderung gerecht zu werden und das Risiko für Rechte und Freiheiten natürlicher Personen zu minimieren, haben Verantwortliche entsprechende Maßnahmen zu ergreifen. Sofern mehrere gemeinsam an der Datenverarbeitung mitwirken, ist jeder für sich Verantwortlicher im Sinne der DSGVO und hat dementsprechend diese Vorgaben zu erfüllen.

Die Verantwortlichen werden dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem jeweiligen Risiko angemessenes Schutzniveau zu gewährleisten. Aufgrund des von individuellen Faktoren abhängigen Risikos, kann die Angemessenheit der Maßnahmen nicht pauschal bestimmt werden. Ihre Anforderungen bemessen sich insbesondere danach, wie hoch die Eintrittswahrscheinlichkeit und die Schwere des Eingriffs in die Rechte und Freiheiten natürlicher Personen zu beurteilen ist, in welcher Art, welchem Umfang und zu welchem Zwecke die Verarbeitung erfolgt und darüber hinaus unter Berücksichtigung des Stands der Technik.

Unter Umständen hat dies durch Anwendung geeigneter Datenschutzvorkehrungen zu erfolgen. Als grundsätzliche Maßnahmen werden dabei die Pseudonymisierung, Verschlüsselung oder die Datenbegrenzung auf solche, die für den Zweck der Verarbeitung tatsächlich erforderlich sind, genannt. Eine solche Begrenzung hat auch durch entsprechende datenschutzfreundliche Voreinstellungen zu erfolgen.

Auftragsverarbeitung

Auch künftig können die Verantwortlichen auf Auftragsverarbeiter zurückgreifen. Hierbei müssen sie sicherstellen, dass dieser hinreichend Garantien dafür bietet, dass auch der Beauftragte die Vorgaben der DSGVO einhält (vgl. Art. 28 DSGVO). Eine solche Beauftragung erfolgt in der Regel mittels eines Vertrages, wobei der Auftragsverarbeiter nur auf dokumentierte Weisungen hin tätig werden darf. Bei Gewährung eines angemessenen Datenschutzniveaus kann ein Auftrag auch in Drittstaaten erfolgen.

Verzeichnis der Verarbeitungstätigkeiten

Die Verantwortlichen sind dazu verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten bezüglich personenbezogener Daten zu führen. Neu ist, dass neben ihnen auch die Auftragsverarbeitenden einer solchen Pflicht unterliegen. Differenziert wird hier nur im Hinblick auf die erforderlichen Angaben, die für die Verantwortlichen (Art. 30 Abs. 1 DSGVO) ein wenig umfangreicher ausfallen als für die Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO). Den Zweck der Datenverarbeitung haben beispielsweise nur die Verantwortlichen zu dokumentieren. Eine Befreiung kommt lediglich bei Vorliegen der weiteren Voraussetzungen des Art. 30 Abs. 5 DSGVO für Unternehmen in Betracht, die weniger als 250 Mitarbeiter beschäftigen.

Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten

Ereignet sich trotz entsprechender Sicherheitsvorkehrungen eine Verletzung des Schutzes personenbezogener Daten, so hat der Verantwortliche dies unverzüglich der Aufsichtsbehörde zu melden. Welche Angaben bei einer derartigen Meldung zwingend erforderlich sind, ist Art. 33 DSGVO zu entnehmen. Demnach müssen beispielsweise die Art der Verletzung, die Namen der betroffenen Personen sowie eine Beschreibung der wahrscheinlichen Folgen der Verletzung und auch Vorschläge, wie die Behebung der Verletzung des Schutzes personenbezogener Daten erfolgen könnte, angegeben werden.

Neben der Aufsichtsbehörde muss unter Umständen auch die betroffene Person von der Verletzung unterrichtet werden, jedenfalls sofern die Verletzung ein hohes Risiko für dessen persönliche Rechte und Freiheiten zur Folge hat. Dies ist allerdings nicht der Fall, wenn ein Ausschluss von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO greift.

Datenschutz-Folgenabschätzung

Neu ist die sogenannte Datenschutz-Folgenabschätzung, die künftig dann durchzuführen ist, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 DSGVO führt hierzu Fälle an, in denen eine solche Abschätzung erforderlich ist und welche Informationen enthalten sein müssen.

Für eine Datenschutz-Folgenabschätzung wird demnach – sofern ein solcher bestellt ist unter Beteiligung des betrieblichen Datenschutzbeauftragten – zunächst ermittelt, ob überhaupt ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Sofern ein solches gegeben ist, wird das Risiko in einem zweiten Schritt bewertet und geklärt, ob die zur Bewältigung des Risikos getroffene Abhilfemaßnahmen ausreichen sind, um das Risiko einzudämmen. Ist dies nicht der Fall, so muss der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde im Hinblick auf das bestehende Risiko konsultieren.

Betrieblicher Datenschutzbeauftragter

Wie auch bisher muss ein Unternehmen gegebenenfalls einen Datenschutzbeauftragten benennen. Wann ein solcher erforderlich ist, kann Art. 37 DSGVO entnommen werden. Allerdings ist zu beachten, dass das DSAnpUG weitere Gründe vorsieht, bei deren Vorliegen ebenfalls ein betrieblicher Datenschutzbeauftragter benannt werden muss.

Aufgabe des Datenschutzbeauftragten ist es unter anderem, den Verantwortlichen über seine aus der DSGVO und sonstigen Datenschutzvorschriften resultierenden Pflichten zu unterrichten und zu beraten, sowie die Einhaltung der Vorgaben der DSGVO sowie sonstiger Datenschutzvorschriften und ausgearbeiteter Strategien zu überwachen. Darüber hinaus dient er als Anlaufstelle für die Aufsichtsbehörde und Ansprechpartner für Betroffene.

Welche Rechte den Betroffenen im Zusammenhang mit der Erhebung und Verarbeitung personenbezogener Daten konkret zustehen, können Sie bald in unserem Teil III der Reihe „Neue EU-DSGVO“ nachlesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a