net|able mit Sicherheit
Ihr kompetenter Partner

EU-Datenschutz-Grundverordnung: Das sind die Neuerungen


Ab 25. Mai 2018 gelten die neuen Regelungen für Unternehmer. Die neue europäische Datenschutzgrundverordnung wird die bisherige europäische Datenschutzrichtlinie (EU-DSRL) ablösen. Ziel der neuen Datenschutzgrundverordnung (DS-GVO) ist es, für einen einheitlichen europäischen Datenschutz zu sorgen. Unternehmer sind gut beraten, sich jetzt schon damit zu befassen, denn bei Verstößen gegen die neue Verordnung drohen hohe Bußgelder.


Das ändert sich durch die neue Verordnung für Unternehmen:


  • Härtere Strafen und Beweislastumkehr:
    Bei Datenschutzverstößen müssen Unternehmen künftig bis zu 20 Millionen Euro oder vier Prozent ihres weltweit erzielten Jahresumsatzes als Bußgeld zahlen. Im Rahmen der neuen Beweislastumkehr müssen künftig Unternehmen nachweisen, dass sie die Regeln eingehalten haben.

  • Marktortprinzip:
    Das Datenschutzrecht gilt für alle Unternehmen, die auf dem europäischen Markt agieren. Dabei spielt es keine Rolle, wo das jeweilige Unternehmen ansässig ist oder wo die Datenverarbeitung stattfindet. Wer Waren oder Dienstleistungen in die EU liefert, ist in jedem Fall an die neue Datenschutzgrundverordnung gebunden.

  • Recht auf Löschung der Daten:
    Unternehmen müssen personenbezogene Daten auf Wunsch der Betroffenen löschen.

  • Einwilligung:
    Für die Verarbeitung personenbezogener Daten muss eine ausdrückliche Zustimmung der Kunden eingeholt werden. Die Zustimmung muss freiwillig sein, voreingestellte Haken sind nicht mehr erlaubt. Darüber hinaus gilt ein Kopplungsverbot von der Datenverarbeitung zu den erbrachten Leistungen oder Produkten. Kunden müssen jederzeit Einsicht in ihre Daten erhalten und ihre Einwilligung jederzeit widerrufen können.

  • Grundsatz des Privacy by Design:
    Privacy by Design bedeutet, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden sollen. Datenschutz und Privatsphäre sind von vorneherein in die Gesamtkonzeption und Entwicklung einzubeziehen. Nachträgliche Korrekturen können zwar vorgenommen werden, sind jedoch sehr zeit- und kostenintensiv.

  • Grundsatz des Privacy by Default:
    Datenschutz ist bereits bei der Planung neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.

  • Grundsatz der Integrität und Vertraulichkeit:
    Unbefugte dürfen keinen Zugang zu personenbezogenen Daten haben. Ihnen muss die Nutzung dieser Daten bzw. Geräte verwehrt bleiben.

  • Grundsatz der Transparenz:
    Neben den Kontaktdaten des verarbeitenden Unternehmens sind auch die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung anzugeben. Ferner müssen Kunden auf ihre Rechte (Zugang, Berichtigung, Sperrung, Beschwerderecht bei der Aufsichtsbehörde usw.) hingewiesen werden. Die Herkunft der Daten und die Speicherdauer müssen ebenfalls angegeben werden.

  • Technische und organisatorische Maßnahmen:
    Um die Kundendaten im Missbrauchs- und Verlustfall zu schützen, sollen diese künftig pseudonymisiert werden. Darüber hinaus besteht künftig die Pflicht zur Datensicherung, um diese vor Verlust zu schützen. Außerdem besteht für den Verantwortlichen die Verpflichtung, die Datensicherheit regelmäßig zu überprüfen und zu evaluieren.

  • Datenschutzbeauftragter:
    Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.

  • Auftragsdatenverarbeitung:
    Zukünftig werden sowohl Auftraggeber als auch Auftragnehmer für die Datenverarbeitung gleichermaßen verantwortlich sein. Bisher war nach dem BDSG nur der Auftraggeber verantwortlich. Auch für eventuell verhängte Bußgelder können beide Seiten herangezogen werden.

  • Meldepflichten von Datenschutzverstößen:
    Zukünftig müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind “ohne unangemessene Verzögerung” zu benachrichtigen.

Quellen und weiterführende Informationen:


Blog Sofortdatenschutz
Datenschutz Grundverordnung
Haufe

Live chat