Herzlich Willkommen beim Datenschutz Soest

Zielgenaue Antworten auf alle Ihre Fragen!

 

Die Europäische Datenschutz-Grundverordnung (DS-GVO) das unbekannte Wesen

99 Artikel - 174 Erwägungsgründe - 69 Öffnungsklauseln - 28 Mitgliedsstaaten und 1 Gesetz, dass ist kurz und knapp zusammengefasst die Europäische Datenschutz-Grundverordnung. Hier eine kurze Übersicht:

Hintergrund

Sie ist eine Weiterentwicklung der bisherigen Datenschutzvorschrift der Europäische Union und gilt als einheitliche Rechtsnorm für die gesamte EU und über diese hinaus. Sie stellt neue Anforderungen im Hinblick auf die Dokumentation von IT-Prozessen, die Durchführung von Risikobewertungen, Meldepflichten bei Datenschutzverletzungen und Datenminimierung. Mit ihr entsteht eine einheitliche Gesetzgebung zur Durchsetzung der Datenschutzvorschriften in Europa, und sie etabliert ein Recht auf den Schutz personenbezogener Daten.

 

Wer ist betroffen?

Zur den Bestimmungen der Europäischen Datenschutz-Grundverordnung gibt es viele Mutmaßungen. Viele kleinere Unternehmer haben die Zahl 10 Mitarbeiter gehört und die Sache sofort als für sie nicht relevant klassifiziert und das kann ein folgenschwerer und auch gegebenenfalls sehr kostspieliger Fehler! Die Regelungen der DS-GVO müssen von allen Unternehmen unabhängig von der Anzahl der Personen eingehalten werden! Unternehmen, Inhaber und gesetzliche Vertreter haften für Verstöße in vollem Umfang und es gilt der Grundsatz "Unwissenheit schützt nicht vor Strafe". 

 

Die DS-GVO gilt für alle Unternehmen mit Sitz in der EU und für Unternehmen, die Daten von europäischen Bürgern speichern, unabhängig von deren physischer Anwesenheit im Land. Das Konzept der „Extraterritorialität“ ist nicht unumstritten, sehr komplex und wird in der Zukunft noch zu erheblichen Kontroversen führen. 

Wenn beispielsweise ein US-Unternehmen Daten von EU-Bürgern sammelt, unterliegt es denselben gesetzlichen Pflichten wie ein Unternehmen mit Sitz in Frankreich, Italien oder Deutschland - auch wenn es dort gar keine Server oder Geschäftsräume unterhält.

Was wird geschützt?

Gemäß Art. 1 DS-GVO werden die Persönlichkeitsrechte von EU-Bürgern weltweit geschützt. Dies bedeutet, dass alle natürlichen Personen geschützt werden, juristische Personen (z.B. GmbH, AG) unterliegen diesem Schutz nicht, sehr wohl aber deren gesetzliche Vertreter.

 

Welche neuen Anforderungen sind zu beachten?

Datenschutz durch Technikgestaltung - In der DS-GVO wurde das Prinzip des Datenschutzes durch Technikgestaltung formalisiert (Privacy by design / Privacy by default). Dazu gehört auch die Minimierung der Datenspeicherung und -aufbewahrung sowie die Notwendigkeit einer Einwilligung von Verbrauchern bei der Verarbeitung ihrer Daten. 

Datenschutzfolgenabschätzungen - Wenn bestimmte stark gefährdende oder sensible, mit einer Person verbundene Daten verarbeitet werden sollen, müssen Unternehmen zunächst die damit verbundenen datenschutzrechtlichen Risiken analysieren. 

Recht auf Löschung und Vergessenwerden - Bereits zu Zeiten der Datenschutz-Richtlinie gab es die Vorgabe, dass Verbraucher die Löschung ihrer Daten fordern konnten. Die DS-GVO erweitert dieses Recht auf Daten, die im Internet veröffentlicht wurden.

Grenzübergreifend - Selbst wenn ein Unternehmen keine physische Präsenz innerhalb der EU unterhält, gelten alle Anforderungen der DS-GVO, wenn es Daten von Bürgern der EU benutzt oder speichert (z. B. durch eine Website). Anders formuliert gilt das neue Recht über die Grenzen der EU hinaus. Das hat insbesondere für e Commerce-Unternehmen und andere cloudbasierte Geschäftsmodelle erhebliche Konsequenzen.

Meldung von Datenschutzverletzungen - Unternehmen müssen die für den Datenschutz zuständigen Aufsichtsbehörden innerhalb von 72 Stunden nach Entdeckung einer Verletzung des Schutzes personenbezogener Daten darüber informieren. Auch die betroffenen Personen müssen informiert werden, aber nur, wenn von den Daten ein „hohes Risiko für die Rechte und Freiheiten“ dieser Personen ausgeht. 

Geldbußen - Schwere Verstöße können mit einer Geldbuße von bis 20 Mio. Euro bzw. bis zu 4 % des weltweit erzielten Umsatzes bestraft werden. Zu diesen Verstößen können auch Verletzungen der grundlegenden Prinzipien des Datenschutzes gehören (Art. 5) - vor allem der Grundsätze des Datenschutzes durch Technikgestaltung und Verstöße gegen das Einwilligungsprinzip (Art. 7). Eine geringere Geldbuße von bis zu10 Mio. Euro bzw. bis zu 2 % der weltweit erzielten Umsätze kann verhängt werden, wenn ein Unternehmen keine ordnungsgemäßen Aufzeichnungen (Art. 30) führt oder versäumt, die Aufsichtsbehörde und betroffene Personen über eine Datenschutzverletzung zu informieren (Art. 33 und 34) oder keine Folgenabschätzung (Art. 35) vornimmt. 

Datenschutzbeauftragte - Unter gewissen Voraussetzungen ist die Bestellung eines Datenschutzbeauftragten verpflichtend (gern informieren wir Sie hierüber in einem persönlichen Gespräch). Er wird für die Einrichtung von Zugriffskontrollen, Minderung von Risiken, Sicherung der Compliance, Beantwortung von Anfragen und die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden sowie die Entwicklung einer robusten Datenschutzrichtlinie verantwortlich.