(fair-NEWS)

Die wichtigsten Änderungen, die es im Zusammenhang mit der EU-Datenschutzgrundverordnung (EU-DSGVO) zu beachten gilt, vorab in einer kurzen Zusammenstellung -> http://tec4net.com/public/datenschutz/eu-dsgvo/20170417_info_eu-dsgvo.pdf Sicherlich ist die Umstellung auf die neue EU-Datenschutzgrundverordnung (EU-DSGVO) - zum Stichtag am 25. Mai 2018 - auch in Ihrem Unternehmen bereits ein aktuelles Thema.Durch die weitreichenden Änderungen der neuen Gesetzesregelung muss bis zu diesem Tag immerhin nicht nur die gesamte Dokumentation sondern in aller Regel auch alle Datenschutzprozesse sowie die Vereinbarungen zur Auftragsdatenverarbeitung angepasst bzw. neu erstellt werden. Die neue Gesetzgebung fordert deutlich mehr Transparenz gegenüber Betroffenen und einiges mehr an Dokumentationsaufwand.Wer die Umstellung zu lange aufschiebt, dürfte mit dem oben genannten Stichtag arge Probleme bekommen und sich der Gefahr von Abmahnungen oder von ebenfalls deutlich höheren Bußgeldern aussetzen.VorwortIm April 2016 wurde die EU-Datenschutz-Grundverordnung (EU-DSGVO) durch das Europäische Parlament beschlossen. Sie besteht aus 99 Artikeln und 173 Erwägungsgründen und ist ab dem 25. Mai 2018 wirksam und in allen EU-Mitgliedstaaten anzuwenden. In Deutschland ersetzt die EU-DSGVO damit das bisherige BDSG sowie eine Reihe anderer Datenschutzregelungen aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).Die EU-DSGVO wurde zur Harmonisierung und Vereinfachung des Datenschutzes in der Europäischen Union (EU) geschaffen, sie löst die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ab und ist in allen EU-Mitgliedstaaten geltendes Recht. Unterschiede sind innerhalb der EU daher nur noch durch die sogenannten „Öffnungsklauseln“ zu erwarten. Je nach Zählweise sind zwischen 50 und 60 Öffnungsklauseln in der EU-DSGVO vorgesehen, diese bieten den nationalen Gesetzgebern die Möglichkeit, in Teilbereichen eigene Regelungen zu erlassen. In Deutschland wird es hierfür vermutlich ein neues novelliertes „BDSG“ geben. Bei möglichen Kollisionen der Gesetzgebung gilt dann aber die EU-DSGVO.Die E-Privacy-Richtlinie 2002/58/EG und die Cookie Richtlinie 2009/136/EG, bleiben in Kraft.Bestehende Corporate Business Rules und die Standardvertragsklauseln sind ebenfalls auch weiterhin für die Datenübermittlung in Drittstaaten nutzbar.Das sind die wesentlichen Änderungen…„Personenbeziehbarkeit“ wird durch die „Identifizierbarkeit“ ersetzt. (Artikel 4 Abs. 1) (Erwägungsgrund 24 S. 2) Das bedeutet, dass die „Stufe“ der Pseudonymisierung entfallen dürfte und pseudonymisierte Daten künftig ebenfalls als personenbezogene anzusehen sind.BeschäftigtendatenschutzDie Bisherigen Verpflichtungserklärungen der Mitarbeiter zur Geheimhaltung entfallen, sind aber in einer ähnlichen Art und Weise auch künftig einzuholen.Pflichten für UnternehmenDie Vorabkontrolle entfällt, an deren Stelle, tritt die Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde, was zu einem Mehraufwand führen könnte.Internationale Datentransfers ins AuslandDer Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWR (sogenannten Drittstaaten) ist weiterhin problematisch.Neuregelung VideoüberwachungEine explizite Regelung zur Zulässigkeit von Videoüberwachung besteht in der DSGVO nicht, das Thema Videoüberwachung wurde lediglich in dem Artikel zur Notwendigkeit einer sog. „Datenschutz-Folgenabschätzung“ erwähnt.AuftragsdatenverarbeitungDie neue Regelung kennt keine Funktionsübertragung mehr und bezeichnet die Auftragsdatenverarbeitung als Auftragsverarbeitung, inhaltlich orientiert diese sich an dem bekannten § 11 BDSG und hebt diesen damit im Prinzip auf ein europäisches Level. Bei einem genaueren Blick ergeben sind aber durchaus Unterschiede erkennbar die zu beachten sind. Auch hier dürfte einiger Aufwand für die Umstellung nötig werden da die Verträge neu erstellt werden müssen.Wartungsarbeiten durch DienstleisterDerzeit stellt die Wartung eines Servers durch einen Dienstleister eine Auftragsdatenverarbeitung dar. Ob diese Auffassung mit der DSGVO weiterhin bestehen bleibt, ist bereits heute umstritten da die EU-DSGVO hierzu durchaus Spielraum zur Interpretation lässt. Es dürfte wohl einige Zeit dauern, bis Stellungnahmen der Aufsichtsbehörden endgültige Rechtssicherheit schaffen.InternetauftrittDa die EU-DSGVO dem nationalen Recht vorgeht und teilweise Bereiche regelt, die in Deutschland bereits im Telemediengesetz geregelt sind, sind die Internetangebote der Unternehmen neu zu bewerten und gegebenenfalls die Datenschutzerklärung sowie das Impressum anzupassen.Bußgelder und SanktionenDie Bußgelder und Sanktionen sind im Artikel 83 und 84 der EU-DSGVO zu finden. Sie dürften künftig deutlich höher ausfallen als bei der bisherigen Regelung, da Verstöße nun als eine Verletzung der Grundrechtecharta der Europäischen Union anzusehen sind. Die EU-DSGVO sieht 20 Mio. oder 2 % des weltweiten Umsatzes bzw. 40 Mio. oder 4% des weltweiten Umsatzes für Verstöße vor.Ob Bußgelder künftig auch gegen Behörden oder öffentliche Einrichtungen verhängt werden können ist noch nicht geregelt, da hierzu eine "Öffnungsklausel" existiert die noch nicht definiert ist.AufsichtsbehördenDie Rolle und vor allem die Zuständigkeiten der Aufsichtsbehörden wurden neu definiert. Daraus ergeben sich für die praktische Handhabung des Datenschutzes neue Chancen, aber auch neue Probleme.EinwilligungDas Verbot mit Erlaubnisvorbehalt zur Datenverarbeitung bleibt auch mit der neuen Gesetzeslage erhalten. Hinsichtlich der Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung durch den Erwachsenen Betroffenen verändert die EU-DSGVO nichts. Die Einwilligung von Minderjährige unter 16 Jahren (bzw. unter 13 Jahren wenn das nationale Recht dies vorsieht) ist nur noch gültig wenn ein Erziehungsberechtigter zustimmt.Datenschutz-Vertreter für UnternehmenMit Einführung des "Marktortprinzip" müssen alle Unternehmen, die keine Niederlassung in der EU haben, aber Personen in der EU Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, grundsätzlich einen EU-Vertreter bestellen.DatenschutzbeauftragterDas Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der Datenschutz-Grundverordnung wird eine solche Pflicht auch erstmals europaweit für Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf, eingeführt. Zwar gibt es hierzu eine "Öffnungsklausel", die auf nationaler Ebene geregelt werden kann, jedoch dürfte sich durch diese Klausel an der Bestellpflicht wenig ändern, da bereits im Entwurf, der DSAnpUG-EU vom 05.08.2016 und vom 02.02.2017 zur Novellierung des BDSG die bestehende Regel vorgesehen ist. Der Datenschutzbeauftragte ist künftig mit Datum der der Bestellung bei der zuständigen Aufsichtsbehörde bekannt zu geben.Aufgaben des DatenschutzbeauftragtenDie EU-DSGVO erweitert den Aufgabenkreis des Datenschutzbeauftragten und wertet seine Stellung im Unternehmen weiter auf. Gemäß Artikel 39 Abs. 1 b DSGVO überwacht er nun die Einhaltung der DSGVO und der nationalen Sonderregelungen im Unternehmen.DatensicherheitDurch die EU-DSGVO werden die Anforderungen an die IT-Sicherheit, also die technischen und organisatorischen Maßnahmen (TOM) geändert. Selbst die bisherigen Begriffe werden neu definiert und abstrakter als sie es bisher bereits waren. Der Überbegriff ist nun „Sicherheit der Verarbeitung“ neu Begrifflichkeiten sind unter anderem auch Stand der Technik, Belastbarkeit oder Implementierungskosten. Eine klärende Auflistung was darunter zu verstehen ist, wie dies in der Anlage zu § 9 BDSG (Maßnahmen) zu finden war gibt es in der EU-DSGVO leider nicht. Auch dürfte sich erst im Laufe der Zeit klären, was unter welchen Umständen, jeweils im Detail zu tun ist.InformationspflichtenDie EU-DSGVO führt eine Reihe neuer Informationspflichten für Unternehmen ein. Der Gesetzgeber möchte, dass die Datenerhebung, -verarbeitung oder -nutzung, gegenüber dem Betroffenen transparenter erfolgt und dieser mehr Einsicht zu den über ihn gespeicherten Daten erhält. Dieser Punkt dürfte vielen Unternehmen deutlich mehr Arbeit bei der Neugestaltung ihrer Prozesse bereiten.Bei der Datenerhebung ist der Betroffen zu informieren über• Widerrufsrecht in einfacher Sprache• Optische Trennung bei mehreren Einwilligungen• Zwecke und Rechtsgrundlage der Verarbeitung Dritte bei Weitergabe benennen• Information über Datenschutzniveau bei Übermittlung ins Drittland• Speicherdauer deren Kriterien• Betroffenenrechte Wiederruf, Berichtigung Löschung…• Beschwerderecht bei der Datenschutzaufsichtsbehörde• Aufklärung über Scoring oder Profiling auf der WebseiteBetroffenenrechteDie bisherigen Rechte auf Auskunft, Berichtigung und Wiederspruch bleiben unverändert. Beim Recht auf Löschung, wird der Begriff künftig so definiert, das eine Unbrauchbarmachung der Daten oder eine Entfernung aus dem aktivem Datenbestand ausreichend sein wird. (Artikel 16 ff)Hinzu kommt ein Beschwerderecht für den Betroffenen bei der Datenschutzaufsichtsbehörde und die Forderung der Datenübertragbarkeit. Unternehmen sind also angehalten Daten so zu speichern, dass diese ohne großen Aufwand zu einem anderen Unternehmen übertragbar sind.Meldepflicht - Data Breach NotificationDie DSGVO verschärft die Meldepflicht in Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen wenn es zu Datenpannen kommt. Die Meldung ist innerhalb von 72 Stunden nach Erkennung zu melden. Unter Datenpannen versteht man im Datenschutz Verstöße, gegen die gesetzlichen Regelungen, bei denen personenbezogene Daten Dritten zu Unrecht bekannt werden. Oft besteht eine besondere Gefahr für die Betroffenen durch Rufschädigung, bekanntwerden von Geheimnissen oder Finanzielle Einbußen.DokumentationspflichtenDie EU-DSGVO fordert umfangreichere Dokumentationspflichten als das BDSG, die Verantwortlichen in den Unternehmen müssen sich also auch hier künftig auf höhere Anforderungen im Datenschutz einstellen.Beispielsweise müssen künftige Entscheidungsgrundlagen als Nachweisvorgehalten werden, eine Versionierung der Unterlagen wird zumindest empfohlen.VerfahrensverzeichnisDas Verfahrensverzeichnis nennt sich nun "Verzeichnis von Verarbeitungstätigkeiten", das Jedermannverzeichnis wurde durch die EU-DSGVO ersatzlos gestrichen.Nach Art. 30 DSGVO müssen nun auch manuelle Verfahren mit personenbezogenen Daten erfasst werden. Inhaltlich ähnelt es dem bisherigen Verfahrensverzeichnis, neu ist allerdings, dass gem. Art. 30 Abs. 2 DSGVO neben den verantwortlichen Stellen nun auch ein möglicher Auftragsdatenverarbeiter ein "Verzeichnis von Verarbeitungstätigkeiten" führen muss.One Stop ShopBei grenzüberschreitender Datenverarbeitung ist gemäß Art. 56 Abs. 1 DSGVO nur noch eine federführende Aufsichtsbehörde für die Beurteilung datenschutzrechtlicher Belange des Unternehmens zuständig.Das deutsche Unternehmen hat nur noch mit seiner Behörde zu tun, das Ausländische Unternehmen ebenfalls mit der eigenen.DatenschutzmanagementsystemsNeben dem oben genannten Verzeichnis von Verarbeitungstätigkeiten finden sich in der EU-DSGVO eine Vielzahl von Normen, die eine Dokumentation der Datenschutzmaßnahmen, eingeführten Prozesse und durchgeführten Kontrollmechanismen fordern. Die Einführung eines Datenschutz-Managementsystems ist also keine kür mehr.Matthias Walter, tec4net GmbH www.tec4net.com EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit



Bildinformation: Copyright - tec4net GmbH