<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=114245&amp;fmt=gif">
logo.png

Themen: Datenschutz

Bundesdatenschutzgesetz reloaded: Die neue Datenschutz-Grundverordnung

datenschutz_grundverordnung_dsgvo_blindwerk

Die neue DSGVO

Ab dem 25. Mai dieses Jahres ändert sich der Umgang mit allen persönlichen Daten im Netz grundlegend. 200 Gesetze wurden dazu allein in Deutschland abgeändert, nachdem vor zwei Jahren nach über 3.100 Änderungsanträgen das Europäische Parlament die grundlegende Neuordnung des Datenschutzes in Europa verabschiedet hat. In Deutschland regelt die neue Datenschutz-Grundverordnung (DSGVO), in welcher Form, über welche Zeit und mit welcher Dokumentationspflicht sämtliche Nutzerdaten verarbeitet werden müssen.
Für Verbraucher ergeben sich fast nur Vorteile aus dem neuen Regelwerk. Anders ist das bei den zahlreichen Pflichten für Unternehmen, Freelancer und Unternehmen, egal welcher Größe. blindwerk - neue medien zeigt auf, welche Herausforderungen durch die Gesetzesänderungen auf Organisationen zukommen.

Die DSGVO – Keine Richtlinie, sondern Vorschrift

Künftig sind die Paragraphen zum Datenschutz und Internet in allen EU-Ländern Vorschrift und keine Richtlinien mehr. Bei einer Richtlinie muss das EU-Land eine Vorgabe der EU in sein Landesrecht integrieren. Eine Verordnung jedoch hat unmittelbar Geltung in allen EU-Staaten. Die Reform im Datenschutz soll auf EU-Ebene für Einheitlichkeit und ein gleich hohes Datenschutzniveau in allen Mitgliedsstaaten sorgen. Die nationalen Gesetzgeber mussten über die letzten zwei Jahre einzelne Bereiche in der Gesetzgebung völlig neu regeln. Dazu gehört beispielsweise auch die Rolle der Datenschutzbeauftragten. 

Ausländische Firmen verlieren an Boden: Das Marktortprinzip gilt mit der neuen DSGVO

Bisher galt das sogenannte Sitzlandprinzip für ausländische Firmen, die mit ihren Dienstleistungen in Deutschland agieren. Bei juristischen Auseinandersetzungen gaben die Gesetzte des Landes den Ton an, in dem das Unternehmen seinen Hauptsitz hat. Nun gilt das Marktortprinzip und ausländische Firmen müssen die DSGVO-Fassung des Ziellandes beachten. Damit sind auch ausnahmslos kostenlose Dienste gemeint – sprich die Internetriesen: Google, Facebook und Microsoft. 

Das Schreckgespenst Marktortprinzip

Brisant: Unternehmen aus Drittstaaten müssen künftig einen EU-Vertreter als Ansprechpartner nominieren, der allen Betroffenen und Behörden Rede und Antwort steht. So fürchten Gegner der Neuregelung, dass US-Unternehmen diesen zusätzlichen Aufwand derart scheuen könnten, dass sie EU-Bürger vor der Nutzung ihrer Dienste ausschließen.

Welche Organisationen benötigen einen Datenschutzbeauftragten?

Alle Behörden, öffentliche Stellen und Unternehmen, die „eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“, müssen laut Gesetz auch künftig Datenschutzbeauftragte bestellen. Nur Kleinunternehmer müssen diese Position nicht schaffen. Ein Datenschutzbeauftragter kann ein Angestellter oder ein Dienstleister sein und darf für die Ausführung seiner Arbeit nicht bestraft oder entlassen werden.

Folgende Ausnahme gilt für Unternehmen mit weniger als zehn Personen, die mit der Verarbeitung von personenbezogenen Daten beschäftigt sind:

  • es wird eine Datenverarbeitung vorgenommen, die der sogenannten Datenschutz-Folgeabschätzung (DSFA) unterliegt. Eine Datenschutz-Folgeabschätzung ist beispielsweise dann notwendig, wenn eine automatisierte Datenverarbeitung auf die Bewertung von bestimmten Persönlichkeitsmerkmalen abzielt.
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Wichtig: Ständig personenbezogene Daten automatisiert zu verarbeiten, muss die Kerntätigkeit dieser Mitarbeiter sein. Wenn Sie nur entfernt oder indirekt mit personenbezogenen Daten arbeiten, fallen sie nicht unter die oben genannte 10-Mitarbeiter-Regel.

Wodurch qualifiziert sich der Datenschutzbeauftragte?

Die allgemeine Formulierung über alle Branchen und Unternehmensformen hinweg besagt, dass der Datenschutzbeauftragte eine gewisse berufliche Qualifikation vorzuweisen hat, sowie Fachwissen zu Datenschutz mitbringt und im Stande ist, die vorgeschriebenen Aufgaben der Datenschutzpraxis zu erfüllen. Ausgeschlossen sind laut Gesetzestext Personen, bei denen ein Interessenkonflikt liegt. Wie zum Beispiel bei inhaltlich kollidierenden Tätigkeiten innerhalb desselben Unternehmens, falls es sich um einen internen Datenschutzbeauftragten handelt.

Haben Einwilligungen weiterhin Gültigkeit, die vor der DSVGO abgegeben wurden?

Ja, wenn Sie in Ihren Verträgen bereits Einwilligungen zur Datenverarbeitung erhalten haben, behalten diese ihre Gültigkeit und müssen nicht erneut eingeholt werden.

Wie verfährt man bei der Protokollierung von datenschutzrechtlichen Einwilligungen?

Alle Vorgänge müssen protokolliert werden. Somit kann das Unternehmen jederzeit nachweisen, in welchem Ausmaß, welche Einwilligungen erteilt wurden. Das kann auf Papier oder digital erfolgen, solange Unterschriften bzw. Einwilligungshäkchen mit Datum bzw. Zeitstempel und IP-Adresse dokumentiert werden. Die Aufsichtsbehörden verlangen im Falle einer Prüfung eine solche Dokumentation, das sogenannte Verfahrensverzeichnis. Diese Auflistung müssen alle Organisation führen, auch Kleinunternehmer oder Freelancer ohne Angestellte.

Bei Verstößen drohen hohe Bußgelder

Ein Datenschutzverstoß wird in Artikel 83 Abs. 4 DSGVO in einem Bußgeldrahmen von bis zu € 10 Mio. oder 2% des weltweiten Jahresumsatzes geahndet. Gemäß Abs. 5 und 6 sind sogar bis zu € 20 Mio. oder 4% des weltweiten Jahresumsatzes fällig. Die Berechnung der tatsächlichen Bußgelder erfolgt individuell, je nach Schwere und Art des Verstoßes oder ob Fahrlässigkeit bzw. Vorsätzlichkeit vorliegen. 

Damit Sie für alle Eventualitäten gerüstet sind

Die nächsten Schritte für alle Organisationen wie Firmen, Konzerne, Kleinunternehmer und Freelancer sowie kleine und mittelständische Unternehmen, die mindestens einen Kunden in der EU haben, lauten:

  • einen Datenschutzverantwortlichen installieren (es sei denn, die Regelung schließt sie aus)
  • aktuelle Datenschutz-Situation der Organisation analysieren
  • Plan zur Implementierung von Datenschutzmanagement erstellen
  • Umfassendes Audit zur Bewertung der aktuellen Prozesse
  • Richtlinien und Verfahren basierend auf den Ergebnissen der Prüfung

Die erheblichen Anforderungen, den Gesetzen Folge zu leisten und die abschreckend hohen Bußgelder sollten genug Motivation sein, diese Schritte einzuleiten. Die DSGVO ist aber auch eine echte Chance, Kunden und Nutzern zu demonstrieren, dass eine Organisation vertrauensvoll mit deren Daten umgeht.

Detaillierte FAQs zur DSGVO für Unternehmen, die auf ihren Webseiten personenbezogene Daten verarbeiten stellt die IT-Recht Kanzlei online zur Verfügung. Auch individuelle Rechtsberatung im Zusammenhang mit den komplizierten Herausforderungen der DSGVO kann bei der Kanzlei angefragt werden.

Veröffentlicht am: 28.03.2018

Brandneue Posts