Wesentliche Neuerungen der Europäischen Datenschutzgrundverordnung (DSGVO)
„Wie setzen wir ein EU-DSGVO konformes Datenschutzmanagement um?“
„Welche Prozesse muss man im Unternehmen in Gang setzen?“
„Wo fängt man am besten mit der Umsetzung an?“
Dies sind nur einige typische Fragen, die aktuell vielen Unternehmen mit Blick auf die umfangreichen Vorschriften der EU-Datenschutzgrundverordnung (kurz DSGVO) Kopfzerbrechen und erstmal Anfangsschwierigkeiten bereiten.
Feststeht jedenfalls: Es ist unumgänglich, dass Sie Ihre Datenschutzpraxis überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der DSGVO anpassen und gegebenenfalls weiterentwickeln. Eine Musterlösung für alle gibt es dabei leider nicht, da jedes Unternehmen durch sein eigenes Geschäftsmodell unterschiedliche Datenverarbeitungsvorgänge durchführt und für sie jeweils andere Vorschriften im Vordergrund stehen.
Diese FAQs haben das Ziel, Ihnen einen kurzen Überblick zu geben, was Sie tun müssen und den Einstieg in die Planung zur Umsetzung der DSGVO zu erleichtern., um möglichst zielgerichtet die richtigen Prozesse in Gang zu setzen.
Übersicht
Wann tritt die EU-DSGVO in Kraft?
Wofür gilt die EU-DSGVO?
Was ist das Ziel der EU-DSGVO?
Wo gilt die EU-DSGVO?
Was sind die wichtigsten Änderungen der DSGVO?
Was sind die neuen Pflichten für Unternehmen?
I. Technischer Datenschutz
Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?
Was bedeuten Technische Maßnahmen und datenschutzfreundliche Voreinstellungen gemäß Art.25 DSGVO?
Wer muss das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO führen und was muss es beinhalten?
II.Transparenz – und Informationspflichten
III.Mitwirkungs- und Meldepflichten
Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?
Müssen Datenschutzverletzungen / „Datenspannen“ an die Aufsichtsbehörde gemeldet werden?
Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?
IV. Datenschutz-Folgenabschätzung
Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?
Wie muss die Datenschutz-Folgenabschätzung durchgeführt werden?
Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?
Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?
Was passiert bei einem Verstoß gegen die DSGVO?
Wie können sich Unternehmen optimal vorbereiten?
Was sollten Ihre nächsten Schritte sein?
Wann tritt die EU-DSGVO in Kraft?
Die Datenschutz-Grundverordnung trat bereits am 24. Mai 2016 in Kraft. Nach einer 2-jährigen Übergangsphase müssen die Bestimmungen dieser Richtlinie nun ab dem 25. Mai 2018 verbindlich eingehalten werden. (Art. 99 DSGVO)
Wofür gilt die EU-DSGVO?
Gemäß Art.2 Abs.1 DSGVO gilt die Verordnung für „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst und umfasst z.B. Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann. Die DSGVO läßt dabei nur wenige Ausnahmen außerhalb des privaten und familiären Bereichs zu.
Was ist das Ziel der EU-DSGVO?
Mit der DSGVO soll künftig ein einheitlicher Schutz personenbezogener Daten natürlicher Personen sowie des freien Datenverkehrs innerhalb des Europäischen Binnenmarkts gewährleistet werden. Als EU-Verordnung hat die DSGVO unmittelbare Rechtswirksamkeit in allen EU-Mitgliedsstaaten. Über Öffnungsklauseln können die einzelnen Staaten jedoch bestimmte individuelle Regelungen treffen. Deutschland hat die DSGVO mit der neue BDSG umgesetzt.
Wo gilt die EU-DSGVO?
Die DSGVO stellt darauf ab, ob ein Anbieter von Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet, unabhängig vom Sitz des verarbeitenden Unternehmens. Die DSGVO auch dann anzuwenden, wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient z.B. durch die Analyse des Surfverhaltens im Internet wie auch die Speicherung von Cookies, egal zu welchem Zweck (Art. 3 Abs. 2 DSGVO).
Was sind die wichtigsten Änderungen der DSGVO?
Auf den Punkt gebracht erweitert die DSGVO für Unternehmen die bereits bekannten Pflichten und erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz. Als wichtigste Neuerungen der DSGVO sind
- die erweiterten Pflichten im technischen Datenschutz (u.a. Pflicht zur Führung eines Ver-arbeitungsverzeichnisses und die Verankerung der Mitverantwortung der Auftragsverarbeiter)
- die Erweiterung der Transparenz- und Informationspflichten,
- das „Recht auf Vergessenwerden“,
- die erweiterten Mitwirkungs- und Meldepflichten,
- die Einführung einer Datenschutzfolgenabschätzung sowie
- die Erweiterung für die Benennung eines Datenschutzbeauftragten
zu nennen.
Was sind die neuen Pflichten für Unternehmen?
Die EU-Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten zum Datenschutz umfangreiche neue Pflichten für Unternehmen im Bereich Datenschutz.
I. Technischer Datenschutz
Die im Unternehmen für die Verarbeitung personenbezogener Daten müssen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken, die für persönliche Rechte und Freiheiten bestehen können, geeignete technische und organisatorische Maßnahmen installieren. (Art. 24 DSGVO) Diese Maßnahmen müssen in einer sog.“ TOM-Liste“ konkret beschrieben und dokumentiert werden.
Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?
Darunter fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personen-bezogenen Daten entscheidet, Art. 4 Nr. 7 EU-DSGVO.
Was bedeuten Technische Maßnahmen und datenschutzfreundliche Voreinstellungen gemäß Art.25 DSGVO?
Der in einem Unternehmen für die Verarbeitung von personenbezogenen Daten Verantwortliche muss den Datenschutz durch interne Strategien festlegen und Maßnahmen treffen, die dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen können z.B. darin bestehen, dass
- die Verarbeitung personenbezogener Daten minimiert wird (Datensparsamkeit)
- personenbezogene Daten so schnell wie möglich pseudonymisiert werden,
- alle Aufgaben, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, in transparenter Form zugeordnet werden
- der „betroffenen“ Person ermöglicht wird, die Datenverarbeitung und der Umgang mit ihren Daten zu kontrollieren und
- der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.
Wer muss das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO führen und was muss es beinhalten?
Art.30 DSGVO sieht vor, dass künftig sowohl der Verantwortliche wie auch der Auftragsdatenverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten führen müssen. Auf Anfrage muss dieses Verzeichnis der Aufsichtsbehörde zur Verfügung gestellt werden. Das Verzeichnis muss folgende Informationen enthalten:
- Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
- Zwecke der Verarbeitung
- Kategorien von betroffenen Personen und personenbezogenen Daten
- Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
- Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
II. Transparenz– und Informationspflichten
In den Art. 14 und 15 DSGVO werden künftig die Informationspflichten der Datenverarbeiter gegenüber den Betroffenen erheblich erweitert. Hierdurch soll die Verwendung von Daten nachvollziehbar gemacht werden. Grundsätzlich muss bereits vor Erhebung personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einfacher Sprache u.a. über die Verwendung der Daten, voraussichtliche Dauer der Datennutzung, Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Verarbeitung etc. informiert werden.
III. Mitwirkungs- und Meldepflichten
Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?
Nach Art. 29 EU-DSGVO dann, wenn es die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt.
Müssen Datenschutzverletzungen bzw. „Datenspannen“ an die Aufsichtsbehörde gemeldet werden?
Nach Art. 33 EU-DSGVO grundsätzlich ja. Der Verantwortliche muss ohne schuldhaftes Zögern und möglichst binnen 72 Stunden nachdem die Datenverletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde melden. Der Auftragsdatenverarbeiter muss daher ebenfalls eine „Datenpanne“ unverzüglich an den Auftraggeber melden, damit dieser wiederum seiner Meldepflicht nachkommen kann.
Kann ein Risiko für Rechte und Freiheiten von Individuen ausgeschlossen werden oder als höchst unwahrscheinlich eingestuft werden, entsteht keine Meldepflicht.
Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?
Nach Art. 34 EU-DSGVO grundsätzlich ja. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten und so rasch wie nach allgemeinem Ermessen möglich erfolgen.
Wenn technische oder organisatorische Maßnahmen wie z. B. eine Verschlüsselung die Kenntnisnahme von personenbezogenen Daten verhindern oder sicherstellen, dass kein hohes Risiko besteht, muss der Betroffene allerdings nicht benachrichtigt werden.
IV. Datenschutz-Folgenabschätzung
Gänzlich neu eingeführt wird mit Art. 35 DS-GVO die Pflicht zur Datenschutz-Folgenabschätzung
Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?
Sie ist immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies ist insbesondere der Fall bei der Verwendung neuer Technologien oder sonst aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Für Auftragsdatenverarbeiter ist das insofern relevant, als diese stärker als zuvor verpflichtet werden, den Auftraggeber hierbei zu unterstützen.
Ist in dem Unternehmen ein Datenschutzbeauftragter bestellt, muss er in die Datenschutz-Folgenabschätzung eingebunden werden. Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren.
Wie muss die Datenschutz-Folgenabschätzung durchgeführt werden?
Die Folgeschutzabschätzung erfolgt in 3 Stufen:
- In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Hauptanwendungsgebiete sind bei Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten, gegeben.
- Besteht ein solches Risiko, ist in einer 2. Stufe eine Bewertung vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheit-vorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Zudem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
- Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese spricht dann innerhalb von 8 Wochen eine schriftliche Empfehlung zur Risikominimierung aus; sie darf die Datenverarbeitung aber auch vollständig untersagen. Je nach Komplexität kann die Frist von der Aufsichtsbehörde auch verlängert werden.
Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?
Da die Aufsichtsbehörden unabhängig vom Risiko für besonders sensible Fälle die zwingende Durch-führung der Folgenabschätzung anordnen kann, ist sie bereits im Vorfeld mit einzubinden. Die Auf-sichtbehörden werden Technologien nach ihrem Datenschutzrisiko klassifizieren und entsprechende Positiv-/Negativ-Listen veröffentlichen.
Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?
Ja und zwar dann, wenn es als angemessen erscheint.
Was passiert bei einem Verstoß gegen die DSGVO?
Durch die DSGVO wird die Haftung erheblich verschärft. Eine natürliche Person, die einen Schaden durch einen Verstoß gegen die DSGVO erleidet, hat Anspruch auf Schadensersatz – sowohl bei materiellen als auch bei immateriellen Schäden. Schadensersatzpflichtig ist der Verantwortliche und jeder an der Verarbeitung Beteiligte, damit auch ein Auftragsverarbeiter.
Zusätzlich drohen bei Verstößen gegen die DSGVO empfindliche Geldbußen für die Unternehmen. So können Bußgelder bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Umsatzes des letzten Geschäftsjahres verhängt werden.
Neben den aufsichtsbehördlichen Maßnahmen steigt zudem die Gefahr von Abmahnungen.
Wie können sich Unternehmen optimal vorbereiten?
Um sich optimal auf die Regelungen Datenschutz-Grundverordnung vorzubereiten, sollten Unternehmen sich vor allem klarmachen: es wird Ernst und die Zeit läuft.
Geschäftsführer, Datenschutzbeauftragte und andere für den Datenschutz in einem Unternehmen Verantwortliche müssen sich dafür sensibilisieren, dass ab dem 25. Mai 2018 nicht nur der Name der Datenschutzvorschrift geändert wird. Die DSGVO wird in vielen Bereichen direkte Auswirkung auf jedes datenverarbeitende Unternehmen haben.
Konflikte mit Nutzern, Abmahnungen und Bußgelder kann es auch wegen verspäteter Anpassung an die DSGVO geben, die sich jedoch vermeiden lassen, wenn Sie unverzüglich mit einer sorgfältigen Maßnahmenplanung und –umsetzung beginnen.
Gerne stehen wir für Beratung und Umsetzung zur Verfügung.
Beiträge zur EU-DSGVO
- Weihnachten kommt bald – die EU-Datenschutz-Grundverordnung (EU-DSGVO) auch
- EU-DSGVO – Die nächsten Schritte zur Umsetzung
- EU-DSGVO – Fragen und Anworten (FAQ)
- Praxistipps zur EU-Datenschutz-Grundverordnung – EU-DSGVO
- Video-Blog IT-Recht zur EU-DSGVO
-
Datenschutz-Grundverordnung im Volltext