EU-Datenschutzgrundverordnung

EU-Datenschutzgrundverordnung – gleiches Recht für alle

Die EU-Datenschutzgrundverordnung wurde am 14.04.2016 durch das EU-Parlament beschlossen. Sie ist am 25.05.2016 in Kraft getreten und zu geltendem Recht in allen Mitgliedsländern der EU geworden. Sie müssen jedoch nicht in Panik verfallen, sie wird erst am 25.05.2018 ihre Wirkung entfalten.

Ziel der EU-DSGVO ist dabei ein einheitliches Datenschutz-Niveau in der Europäischen Union zu erreichen. Bisher gab es nationale Gesetze, wie in Deutschland das (BDSG) Bundesdatenschutzgesetz, in Österreich das DSG 2000 und in jedem Mitgliedsland ein anderes Gesetz, welche als Grundlage die EU-Datenschutzrichtlinie hatten. Da die Richtlinie jedoch lediglich eine Grundlage bildete, die in nationales Gesetz umgesetzt werden sollte, gab es immer erhebliche Unterschiede, die nun durch die EU-Datenschutzgrundverordnung behoben werden sollen.

Was passiert mit geltendem Recht?

Die DSGVO löst das geltende Recht z.B. das Bundesdatenschutzgesetz sowie weitere Regelungen in anderen Gesetzen ab. So ist dies jeden-  falls in vielen Fällen zu sehen. Die Datenschutzgrundverordnung räumt in den so genannten Öffnungsklauseln den einzelnen Mitgliedsstaaten eigene Regelungen ein, die jedoch nicht unter dem Datenschutz-Niveau der DSGVO liegen dürfen.

Aus diesem Grund wird es in Deutschland eine entsprechende Neuregelung des bestehenden BDSG geben, in der spezifischere Regelungen vorhanden sein werden. Dieses „neue BDSG“ befindet sich momentan jedoch erst in einem Entwurfsstatus und wird gerade heftig diskutiert. Ein entsprechender Termin für eine endgültige Version gibt es aktuell noch nicht.

Was heißt das für deutsche Unternehmen?

Die neue Verordnung gilt für alle Unternehmen die personenbezogene Daten verarbeiten und ihren Sitz in der EU haben oder aber  Daten von EU-Bürgern verarb1eiten. Dabei ist es unerheblich, ob diese Daten innerhalb oder außerhalb der EU verarbeitet werden.

Die DSGVO versetzt dementsprechend die Unternehmen in die Pflicht Ihre Geschäftsprozesse an die Neuerungen der EU-weit geltenden Verordnung anzupassen.

Diese Anpassungen sollten Unternehmen nicht auf die lange Bank schieben, da es viele neue Regelungen und Anforderungen gegenüber der bisherigen deutschen Gesetzgebung gibt und sehr stark erhöhte Bußgelder in der EU-DSGVO drohen. Die entsprechende Übergangszeit sollte konstruktiv und effizient genutzt werden um die eigenen Prozesse zu analysieren um sie an die neuen Gegebenheiten anzupassen.

Was ändert sich?

Einheitliches Datenschutzniveau

Die DSGVO soll dafür Sorge tragen ein einheitliches Datenschutzniveau in der EU zu gewährleisten. Dies war trotz der Datenschutzrichtlinie 95 / 46 / EG zwar versucht worden, trotzdem gab es gravierende Unterschiede zwischen den einzelnen Mitgliedsländern, da die Richtlinie von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden musste. Dabei gab es Länder wie Deutschland, die ein sehr weitgehendes Datenschutzgesetz erstellt haben und andere Länder wie Irland, die ein wenig entspannter mit der Umsetzung umgingen.

Die Datenschutzgrundverordnung tritt in allen Ländern der EU im Jahr 2018 in Kraft und muss nicht mehr in nationale Gesetze umgesetzt werden. Bis zu diesem Zeitpunkt gibt es eine Übergangsfrist, in der die Unternehmen die Umstellung auf die Verordnung durchführen müssen. Nationale Gesetze wie in Deutschland das bestehende BDSG werden nach in Kraft treten der DSGVO größtenteils obsolet und ein einigermaßen gleiches Datenschutzniveau gilt in der gesamten Europäischen Union.

Eine komplette Gleichschaltung EU-weit wird es jedoch nicht komplett geben, da es in der DSGVO so genannte Öffnungsklauseln gibt, wodurch nationale Regelungen möglich sind, z.B. bei der Bestellung des Datenschutzbeauftragten.

Höhere Geldbußen

Die Geldbußen der DSGVO sind im Vergleich zu den vorherigen Regelungen viel höher. Die in Art. 83 Abs. 3, 4, 5 beschriebenen Geldbußen gehen bei Verstößen bei z.B. der Auftragsdatenverarbeitung bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Konzernumsatzes. Dabei wird der entsprechend höhere Betrag genommen.

Bei Verstößen z.B. was die Rechte der Betroffenen angeht, ist ein Bußgeld bis zu einer Höhe von 20 Millionen Euro oder bis zu 4 % des weltweiten Konzernumsatzes möglich. Auch hier gilt der jeweils entsprechend höhere Betrag.

Pflicht zur Dokumentation – Verzeichnis von Verarbeitungstätigkeiten

Die Pflicht zu einem entsprechenden Verfahrensverzeichnis liegt nun nicht mehr nur bei der Verantwortlichen Stelle, sondern auch bei Auftragsdatenverarbeiter, der ein entsprechendes Verfahren beschrieben haben muss. Ein solches Verfahren muss jedoch nicht mehr Jedermann zur Verfügung gestellt werden.

Des Weiteren gibt es für die Erstellung von entsprechenden Verzeichnissen Ausnahmen. Unternehmen mit weniger als 250 Mitarbeitern sind befreit, sofern die Verarbeitung nicht ein Risiko  für die Rechte und Freiheiten der betroffenen Personen birg, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 9a einschließt.

Kommentar von datenschutzprofi24.de – So bald es Mitarbeiter in einem Unternehmen gibt und entsprechend die Konfessionszugehörigkeit gespeichert wird um die Kirchensteuer abzuführen, müssen sämtliche Verzeichnisse erstellt werden und nicht nur die den Datenkategorien gemäß Art. 9 Abs. 1. Dementsprechend fällt die Ausnahmeregelung für die meisten Unternehmen ensprechend weg.

Informationspflichten

Bei der Informationspflicht gibt es eine Unterscheidung entsprechend der Erhebung und zwar zum Zeitpunkt der Erhebung auf der einen Seite und wenn die Daten nicht bei der betroffenen Person erhoben wurden. Auch der Inhalt der Unterrichtung wurde in der DSGVO erweitert und muss angepasst werden.

Auftragsverarbeitung

Die Hauptänderungen bei der Auftragsdatenverarbeitung sind, dass es auch hier geänderte inhaltliche Vereinbarungen gibt und das bei einem Verstoß eine gemeinsame Haftung von Auftraggeber und Auftragnehmer im Raum steht. Dem entsprechend sollte man nun in beide Richtungen schauen und nicht nur mehr mit wen muss ich als Auftraggeber einen ADV abschliessen.

Technische-organisatorische Maßnahmen (TOMs)

Neben einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des Vorjahresumsatzes des Konzerns müssen geeignete technische und organisatorische Maßnahmen getroffen werden. Dies beinhaltet die Berücksichtigung des Stands der Technik, die Implementierungskosten, die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte und Freiheiten.

Dies bedeutet, dass nun verstärkt ein Risikomanagement durchgeführt werden muss.


F27A2824

Neben den hier aufgezählten Änderungen gibt es noch viele mehr. Unser Experte zum Thema Datenschutzgrundverordnung, Herr Mirko Tasch, berät Sie gerne was getan werden muss um auch 2018 datenschutz-konform zu arbeiten. Wir beraten und unterstützen Sie bei einer datenschutz-konformen Umstellung von BDSG auf DSGVO.

 

Zum Kontaktformular


Weitere Informationen zur DSGVO

Die EU-DSGVO Auftragsdatenverarbeitung in der DSGVO Verfahrensverzeichnisse in der DSGVO Recht auf Vergessen werden in der DSGVO DSGVO und Beschäftigtendatenschutz

DSGVO und Datenpannen

0

Your Cart