Die EU-DSGVO im Überblick

© Fotolia / Jan Engel

Die Zeit drängt, denn bis zum 25. Mai 2018 müssen alle Unternehmen die grundlegenden Maßnahmen der EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben.

Laut einer Umfrage des Digitalverbands Bitkom haben 48% der Unternehmen bezüglich der EU-DSGVO externe Experten hinzugezogen. Jedes vierte Unternehmen setzt zusätzliches Personal ein, um die Umsetzung voranzubringen. Allerdings haben lediglich 5% dieser Unternehmen zusätzliches Personal eingestellt. Die anderen 20% greifen auf vorhandenes Personal zurück, welches umstrukturiert wird.

Wir haben für Sie die wichtigsten Neuerungen zusammengefasst.

Bußgelder

Der Bußgeldrahmen wird mit Strafen von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes deutlich erhöht.

Datenschutzbeauftragter

Die Bestellpflicht für den Datenschutzbeauftragten soll weiterhin unverändert gelten. Ab zehn Mitarbeitern, die Zugriff auf personenbezogene Daten haben, muss das Unternehmen einen Datenschutzbeauftragten bestellen. Er sollte über die nötige Fachkunde verfügen und keine Leitungsfunktion innehaben, da dies zu Interessenkonflikten führen könnte.

Datenschutzorganisation

Im ersten Schritt sollte eine Bestandsaufnahme durchgeführt werden, um festzustellen welche Pflichten bereits erfüllt werden und wo Lücken vorhanden sind. Darauf aufbauend sollte jedes Unternehmen eine Datenschutz-Richtlinie vorweisen können. Außerdem wird ein internes Verfahrensverzeichnis (Verzeichnis von Verarbeitungstätigkeiten, Art. 30 EU-DSGVO) benötigt, in dem die gesetzlichen Mindestangaben und relevanten Punkte wie z.B. Datenschutz-Folgenabschätzungen und interne Audits dokumentiert werden.

Geltungsbereich

Die EU-DSGVO gilt nicht nur für Anbieter innerhalb der EU, sondern auch für Anbieter, die ihre Angebote an Bürger der EU richten. Somit ist nicht mehr der Sitz des verantwortlichen Unternehmens maßgebend, sondern der Ort der tatsächlichen Datenverarbeitung (Marktortprinzip).

Informationspflichten und -rechte

Betroffene müssen zukünftig umfangreicher über die Datenverarbeitung und über ihre Rechte informiert werden. Hierzu müssen u.a. die Kontaktdaten des Datenschutzbeauftragten sowie die Speicherdauer veröffentlicht werden.

Eigentlich ist die Verarbeitung personenbezogener Daten verboten und nur in Ausnahmefällen erlaubt, d.h. wenn es der Betroffene oder das Gesetz gestattet oder rechtliche Verpflichtungen vorliegen.

Konzerndatenschutz

Übermittlungen für interne Verwaltungszwecke werden als legitim anerkannt und es können sich auch mehrere Stellen zusammenschließen, um Daten gemeinsam zu verarbeiten. Hierdurch wird die Datenverarbeitung innerhalb eines Konzerns vereinfacht.

Privacy by design und privacy by default

Elektronische Geräte, Software und Onlinedienste müssen datenschutzfreundlich entwickelt werden und die Grundeinstellungen sind im Voraus diesbezüglich anzupassen. Der Betroffene soll selbst entscheiden können, ob er die Einstellungen ändern möchte.

Recht auf Datenübertragbarkeit

Betroffene können in Zukunft ihre Daten mitnehmen, wenn sie den Anbieter (z.B. Bank, Telefon) wechseln. Dies gilt aber nur für Daten, die der Betroffene selbst zur Verfügung gestellt hat.

Recht auf Löschen/Vergessenwerden

Betroffene haben ein Recht darauf, dass ihre Daten gelöscht werden, wenn diese nicht mehr benötigt werden, die Einwilligung für die Verarbeitung zurückgezogen wird oder die Daten unrechtmäßig verarbeitet wurden. Ebenso können Betroffene verlangen, dass ihre Daten korrigiert werden.

Risikoanalyse und Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO)

Bislang wurde eine Vorabkontrolle durchgeführt, welche jetzt durch eine deutlich umfangreichere Datenschutz-Folgenabschätzung ausgebaut wird. In diesem Rahmen hat, bezogen auf einen konkreten Datenverarbeitungsvorgang, eine umfangreiche Risikoanalyse im Hinblick auf die Rechte der betroffenen Personen zu erfolgen. Zum Beispiel beim Einsatz von neuen Technologien, bei denen automatisiert Daten verwertet werden, muss der Verantwortliche in Absprache mit dem Datenschutzbeauftragten überprüfen, ob die geplanten Sicherheitsvorkehrungen ausreichen.

Durch regelmäßige Audits soll das Risiko von Datenschutzverstößen minimiert werden.

Verstöße

Alle Datenschutzpannen, bei denen ein Datenschutzrisiko besteht, müssen zukünftig der Aufsichtsbehörde gemeldet werden. Diese Meldung ist innerhalb von 72 Stunden einzureichen und ggf. sind darüber hinaus auch die Betroffenen zu informieren.

(Julia Mohr, Assistant Consultant Compliance, Creditreform Compliance Services GmbH)

© 2018 Creditreform Compliance Services GmbH

Allgemeines Kontaktformular

allgemeineskontaktformular

Kontaktdaten
Kontakt