Datenschutzgrundverordnung

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DS-GVO) in der gesamten EU gültig. Aber nicht allein europäische Firmen müssen sich mit den umfangreichen Vorschriften auseinandersetzen, die DS-GVO zwingt auch Drittländer, den Schutz bei der Verarbeitung personenbezogener Daten sicherzustellen. Grundsätzlich gilt, wer personenbezogene Daten natürlicher Personen aus der Union verarbeitet, fällt in den Geltungsbereich der Verordnung. Insbesondere die höheren Sanktionen mit bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes rücken das Thema Datenschutz in den Fokus.

Es ist unumgänglich– wenn nicht bereits geschehen – jetzt das Datenschutzmanagement zu prüfen und den Anforderungen der DS-GVO anzupassen. Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, solange kein Erlaubnistatbestand nach Artikel 6 (z. B. persönliche Einwilligung, Erfüllung eines Vertrages) der DS-GVO oder sonstiger Rechtsvorschriften vorliegt. Der Schwerpunkt der DS-GVO liegt in der Stärkung der Rechte der Betroffenen. Betroffene haben das Recht auf Auskunft, Berichtigung und Löschung und können ihre Einwilligung jederzeit und ohne Begründung widerrufen. Die Auskunftspflicht umfasst unter anderem Informationen zur Dauer der Speicherung, der Rechtsgrundlage der Verarbeitung, Verarbeitungstätigkeiten und die Weitergabe der Informationen an Dritte bzw. Drittländer. Der Datenbestand muss aktuell gehalten werden, unrichtige Daten müssen gelöscht werden und dürfen nur solange aufbewahrt werden, wie es für den Zweck erforderlich ist. Somit haben alle Betroffenen das „Recht auf Vergessenwerden“.

Alle Verarbeitungstätigkeiten müssen in einem dafür vorgesehenes Verzeichnis geführt werden. Das Verzeichnis umfasst unter anderem Angaben zur Verarbeitung, Verantwortlichkeiten, Fristen zur Löschung und fordert eine erste Risikoabschätzung. Basierend auf dem Ergebnis der Risikobewertung müssen technische und organisatorische Maßnahmen implementiert werden. Für risikoreiche Verarbeitungen muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Die Pflicht zur Führung eines Verzeichnisses gilt nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sofern keine Verarbeitungen besonderer Datenkategorien (z. B. religiöse Überzeugung) vorliegen. Da die Angabe der Religionszugehörigkeit für Unternehmen in Deutschland bezüglich der Abrechnung (Kirchensteuer) verpflichtend ist, ist eine Ausnahme der Pflicht nahezu ausgeschlossen.

Des Weiteren unterliegen Verantwortliche der Meldepflicht und müssen die zuständige Aufsichtsbehörde über jegliche Art von Datenpannen unterrichten. Hierzu sollten Unternehmen interne Prozesse entwickeln, die eine unverzügliche Meldung aller Datenschutzverstöße gewährleisten. Die Kommunikation mit der Aufsichtsbehörde liegt im Aufgabenbereich des Datenschutzbeauftragten. Ein Datenschutzbeauftragter muss bestellt und gemeldet werden, wenn eine regelmäßige und systematische Überwachung vorliegt oder die Kerntätigkeit des Verantwortlichen in der Verarbeitung personenbezogener Daten liegt. Öffentliche Stellen müssen immer einen Datenschutzbeauftragten benennen. Das Gleiche gilt, laut Deutschem Bundesdatenschutzgesetz, wenn personenbezogene Daten von mehr als 20 Personen verarbeitet werden. Dies würde bedeuten, dass Unternehmen, die mehr als 20 Personen beschäftigen, die Zugriff auf Computer (z. B. Outlook) haben, einen Datenschutzbeauftragten der zuständigen Aufsichtsbehörde namentlich melden müssen. Eine Kontaktadresse muss im Impressum auf der Webseite des Unternehmens hinterlegt werden.

In Summe fordert die DS-GVO Unternehmen dazu auf, ihre Prozesse zu überarbeiten, neue Prozesse zu implementieren, Mitarbeiter zu schulen, Verarbeitungstätigkeiten zu identifizieren, technische und organisatorische Maßnahmen zum Datenschutz einzuführen und die Folgen einer Datenpannen abzuschätzen und das entsprechende Risiko gering zu halten.

Die DS-GVO umfasst eine Vielzahl neuer Anforderungen und stellt den Schutz personenbezogener Daten weltweit in den Vordergrund.

Halten Sie bereits die Anforderungen der DS-GVO ein? Haben Sie bereits Ihren Datenschutzbeauftragten gemeldet und das Verzeichnis der Verarbeitungstätigkeiten angelegt? Wir unterstützen Sie gerne, dass auch Sie künftig ein DS-GVO-konformes Datenschutzmanagement sicherstellen können.

Für weitere Details zum Thema „Datenschutzgrundverordnung“ oder für ein unverbindliches Angebot kontaktieren Sie uns gerne.