EU Datenschutz-Grundverordnung ab 25. Mai 2018

04.10.2017

Ab dem 25. Mai 2018 ersetzt die EU Datenschutz-Grundverordnung das Bundesdatenschutzgesetz. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2016 hat der zweijährige Prozess für Unternehmen begonnen, die Verordnungsinhalte umzusetzen, bevor die DSGVO am 25.05.2018 unmittelbar geltendes Recht wird. Es empfiehlt sich, das eigene Unternehmen schon jetzt auf die neuen datenschutzrechtlichen Bestimmungen vorzubereiten und entsprechende Compliance-Maßnahmen in Angriff zu nehmen.

Die Fakten

Grobe Verletzungen der DSGVO, wie schlechte Datensicherheit, welche zur Veröffentlichung von personenbezogener Daten führen, können mit einer Strafzahlung geahndet werden. Als Unternehmen stehen Sie hier in der Rechenschaftspflicht. Das heißt, dass Sie beweisen müssen, dass Ihr Unternehmen Daten gemäß der EU-Datenschutz-Grundverordnung bearbeitet und löscht. Es gibt Schweregrade von Sicherheitsverletzungen. Bei schweren Verstößen sind bis zu 20 Millionen Euro bzw. 4 % des weltweiten Unternehmenseinkommens an Strafe zu zahlen.

Die DSGVO schlägt detaillierte und anspruchsvolle Verletzungsbenachrichtigungsanforderungen vor. Sowohl die Behörden als auch die betroffenen Kunden müssen benachrichtigt werden und zwar „ohne unnötige Verzögerung und, soweit möglich, spätestens 72 Stunden nach Kenntnis der Verletzung“.

Wichtig: Man muss einen Datenschutzbeauftragten der Aufsichtsbehörde melden – was bedeutet, dass somit auch die Datenschutzaufsichtsbehörden eine einfache Kontrolle darüber ausüben können, wer keinen Datenschutzbeauftragten ernannt hat.

Die DSGVO verschärft die Definitionen über die Einwilligung zur Datenverarbeitung. Die Betroffenen müssen ihre Einwilligung zur Nutzung ihrer personenbezogenen Daten durch eine spezifische, informative und eindeutige Erklärung oder eine eindeutige bejahende Handlung bestätigen.

Die EU-DSGVO verschafft einen breiten Überblick über das, was in personenbezogenen Daten inbegriffen ist. Es umfasst beispielsweis IP-Adressen und andere Tracking-Daten.

In der Verordnung wird erstmals das „Recht auf Vergessen“ festgehalten. Einzelpersonen können Unternehmen dazu auffordern, persönliche Daten zu löschen. Deshalb sollten Unternehmen jetzt Prozesse definieren, wie solche Anfragen zukünftig bearbeitet werden sollen.

Im Vergleich zum bisherigen BDSG steigt der Dokumentationsaufwand für Unternehmen erheblich. Jede verantwortliche Stelle (Unternehmen) muss den Nachweis erbringen können, dass man personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Diese Nachweispflicht ist für mittlere und große Unternehmen nur mit einem aufwendigen Datenschutz-Management-System erfüllbar und ein Risiko-Management ist jetzt Pflicht für alle. Doku der Zugriffsrechte Artikel 5 Abs. 2. Pflege der Berechtigungssituation- Die kontinuierliche und jeweils aktuelle Rechenschafts- und Dokumentationspflicht spielt insbesondere bei Prüfungen durch die Aufsichtsbehörden oder bei der Vermeidung von Haftungsrisiken eine wichtige Rolle.

Die Praxis zeigt, dass die täglich zunehmenden Cyber-Bedrohungen wie Ransomware, Phishing etc. es auf Ihre Daten abgesehen haben. Hat ein Fremder Zugriff auf Ihre personenbezogenen Daten, handelt es sich um eine Verletzung des Datenschutzes. In der Folge besteht für Sie Meldepflicht.

Alles im allen auf einen Punkt gebracht: EU-DSGVO = Datenschutz + IT Sicherheit

Rufen Sie uns an, wir unterstützen Sie gerne bei den notwendigen Anpassungen an die EU-DSGVO.