Datenschutzrecht

Das EU-DSGVO - was wird sich am 24. Juni 2018 ändern? PROJEKTSTRUKTURPLAN

Die neue DSGVO ist ab dem 2. April 2018 unmittelbar gültig. Für Firmen und Privatleute bedeutet dies viele Veränderungen gegenüber der vorherigen Gesetzeslage. Für die Umsetzung der vielen Innovationen im Gegensatz zum vorherigen BDSG bleibt den Firmen nicht mehr viel Zeit. Die Basisdatenschutzverordnung (DSGVO) der EU wird ab dem 2. April 2018 auch in Deutschland gelten.

Gleichzeitig tritt eine entsprechende Neufassung des BDSG (BDSG in der jeweils gültigen Fassung) in Kraft, die die DSGVO teilweise verändert und präzisiert. Das DSGVO wird auch durch die EU-Datenschutzverordnung für den elektronischen Geschäftsverkehr erweitert, die derzeit noch koordiniert wird und 2019 in Kraft tritt und Internet- und Telemedien-Dienste umfasst. Die DSGVO zielt in erster Linie auf ein weitgehend vereinheitlichtes Datenschutzrecht innerhalb der EU ab.

Hauptziel ist die Stärkung der Rechte und der Kontrolle derjenigen, deren persönliche Angaben bearbeitet werden (Betroffene). Ziel ist es, den Schutz personenbezogener Informationen zu verbessern und zugleich deren Freizügigkeit zu gewährleisten. Damit sind die in § 5 DSGVO niedergelegten Prinzipien der Datenbearbeitung, auf denen die Regelung beruht, im Wesentlichen dieselben wie die des ehemaligen BDSG: Gesetzmäßigkeit, Zweckmäßigkeit, Datenminimierung im Sinne der Datenökonomie, Genauigkeit, Zeitbegrenzung (Speicherbegrenzung), Unversehrtheit und Geheimhaltung sowie die Verantwortlichkeit derjenigen, die für die Befolgung dieser Prinzipien verantwortlich sind.

Nichtsdestotrotz wird es in Zukunft einige Veränderungen zu berücksichtigen sein - sowohl für Firmen als auch für Privatleute. Vor allem für Firmen ist es von Bedeutung, sich um die Implementierung der neuen Vorschriften zu bemühen und bereits in der Transitionsphase neue Datenschutzprozesse zu schaffen. Die neue Regelung regelt vor allem die Rechtsgrundlage für die Verarbeitung der Daten, die Rechte der Personen und die Verpflichtungen der Verursacher.

Durch neue Transparenz- und Informationsverpflichtungen der Datenverarbeitungsunternehmen werden die Rechte der Benutzer verstärkt. Die betroffenen Personen sollten leichteren Zugriff auf ihre personenbezogenen Informationen und Informationen über ihre Verwendung haben. Zudem ist das "Recht auf Vergessen", d.h. das Recht auf Löschen von personenbezogenen Angaben, das bisher nur von den Gerichten geschaffen wurde, nun in Rechtsform ausgestaltet. Die DSGVO legt neben den bereits bestehenden Verpflichtungen auch weiterreichende Vorgaben zum Schutz der Privatsphäre in Betrieben fest.

So ist die Verpflichtung, die elektronischen Bauteile und Applikationen datenschutzgerecht vorzugeben, ein Novum. Die Verpflichtung zur Durchführung einer Datenschutzverträglichkeitsprüfung bei bestimmten Gefährdungen der gesammelten Informationen, z. B. durch neue Techniken, wird ebenso aufgenommen. Die DSGVO findet auch Anwendung auf Firmen mit Firmensitz außerhalb der EU, wenn deren Angebot an EU-Bürger gerichtet ist.

Das hat weit reichende Folgen für Firmen wie z. B. die in den USA ansässigen Firmen Google und Facebooke. Ab wann dürfen meine Angaben aufbereitet werden? Auch nach DSGVO ist die Verarbeitung von personenbezogenen Informationen (DV) nur noch gestattet, wenn dies durch die VO oder ein anderes Recht explizit gestattet ist (Verbot unter Vorbehalt der Zustimmung). Der praxisrelevanteste Sachverhalt der Genehmigung nach § 6 DSGVO ist: Der Betroffene hat seine Zustimmung gegeben.

Die Artikel 7 und 8 des DSBER legen die Voraussetzungen für diese Zustimmung fest. Zum Beispiel sollte das Mindesthaltbarkeitsalter 16 Jahre betragen - es sei denn, die Länder reduzieren die Altersbegrenzung auf höchstens 13 Jahre, was in Deutschland nicht der Fall ist. o Die Bearbeitung ist notwendig, um einen Vertrag zu erfüllen oder vorvertragliche Massnahmen durchzuführen. o Die Bearbeitung ist notwendig, um eine gesetzliche Pflicht zu erfüllen. o die legitimen Belange der betroffene Person oder eines Dritten zu schützen, wenn keine legitimen Belange der betroffene Person vorherrschen. o)

Absatz 4 enthält jedoch auch eine Bestimmung, wonach Angaben später auch für Zwecke verwendet werden können, die nicht dem urspr. Ziel der Sammlung dienen. Das ist jedoch nur möglich, wenn die Bearbeitung mit dem eigentlichen Untersuchungszweck vereinbar ist. Betroffene müssen jedoch darüber aufgeklärt werden.

Was darf nicht bearbeitet werden? In Anlehnung an die bisherige Vorschrift des BDSG sind nun auch in 9 DSGVO spezielle Datenkategorien vorgesehen, die prinzipiell nicht bearbeitet werden dürfen. Dabei handelt es sich um Angaben über die Rasse und Volkszugehörigkeit, über die politischen Ansichten, die religiösen oder philosophischen Ansichten oder die Mitgliedschaft in einer Gewerkschaft sowie die Bearbeitung von Gen- und Gesundheitsinformationen und Daten über das Geschlechtsleben oder die sexuelle Ausrichtung einer physischen oder juristischen Person. in der Schweiz.

Diese sind breiter als im BDSG, wobei nun auch die biometrischen Angaben (Fingerabdruck, Spracherkennung, etc.) berücksichtigt werden. In Ausnahmefällen ist die Bearbeitung dieser Angaben jedoch zulässig. Dies ist im Grunde genommen der Fall, wenn die betroffenen Personen zugestimmt haben oder wenn eine Bearbeitung notwendig ist, um Rechte und Ansprüche geltend zu machen und zu verteidigen.

5 Abs. 1 DSGVO listet die für die ganze EDV geltenden Prinzipien auf: Legalität der Bearbeitung (vgl. 6 DSGVO): Die Bearbeitung der Angaben darf nur erfolgen, wenn ein gesetzlicher Zulassungsstandard besteht oder eine effektive Zustimmung besteht. Nachvollziehbarkeit ( "Transparenz", vgl. Artikel 12 ff. DSGVO): Die Betroffenen sollen auch ihr Recht ausüben können.

Dazu benötigen sie besonders Angaben über die hinterlegten Werte. Der Zweck der Datenbearbeitung muss grundsätzlich bereits bei der Datenerhebung definiert werden. Datensparsamkeit: Die Angaben sind vor allem auf das für die Bearbeitung erforderliche Minimum zu beschränken. Mit den Rechten der Betroffenen (Art. 12 - 23 DSGVO), deren Angaben bearbeitet werden, ergeben sich neue Verpflichtungen für die für die Rechtsinhaber im Sinn von Artikel 4 Nr. 7 DSGVO (im Folgenden: "der Rechtsinhaber").

Um DSGVO konform vor allem auf folgende wichtigen Anforderungen der Betreffenden eingehen zu können, müssen Sie daher ein praxistaugliches Vorgehen einrichten: Passend für die DSGVO - das neue Werk von RA Christian Solmecke - verwenden Sie den kostenfreien 14-Tage-Test ab dem Online-Zugang. Der Betroffene hat ein umfangreiches Informationsrecht nach § 15 DSGVO.

Sie ist weitgehend mit dem früheren 34 BDSG zu vergleichen - allerdings können die Personen nun auch eine Abschrift der Personendaten anfordern, die der Bearbeitung unterliegen. Auf Antrag des Betreffenden muss der für die Datenverarbeitung zuständige Sachbearbeiter bestätigen, ob er überhaupt persönliche Angaben vornimmt. Ist dies der Fall, so hat der Betreffende das Recht auf weitere Auskünfte zu den in Artikel 15 Absatz 1 Buchstabe a) - h) DSGVO bezeichneten Informationen:

Unter anderem hat die betroffenen Personen ein Recht auf Zugang zu Auskünften über den Zweck der Verarbeitung, die zu verarbeitenden Personenkategorien und die Datenherkunft. Die Verantwortlichen haben die in 15 DSGVO vorgesehenen Angaben "unverzüglich" zu machen - in der Regel nicht später als einen Monat nach dem Antrag, nur in begründeten Fällen kann die Dauer zwei Monaten sein (' 12 Abs. 3 DSGVO).

Bei der DSGVO gehen die meisten Anwälte davon aus, dass es sich um einen sehr persönlichen Rechtsanspruch handelt, den man nur selbst durchsetzen kann oder der mindestens eine besondere, auf das Auskunftsrecht ausgerichtete Handlungsvollmacht des Betreffenden voraussetzt. Aufgrund des neuen Rechts auf Übertragbarkeit der Angaben (Datenübertragbarkeit) gemäß 20 DSGVO ist der Betreffende berechtigt, seine Angaben "mitzunehmen".

So kann er einen Sachbearbeiter beauftragen, bestimmte Informationen aus einer automatischen Applikation (z.B. einem Social Network) in eine andere Applikation zu übernehmen. Mit diesem Recht soll den Betreffenden der Wechsel vom Provider ohne Datenverlust erleichtert werden. Der Anspruch entsteht nur, wenn die Bearbeitung auf einer Zustimmung nach Artikel 6 Absatz 1 Buchstabe a) oder Artikel 9 Absatz 2 Buchstabe a) oder auf einem Auftrag nach Artikel 6 Absatz 1 Buchstabe b) basiert und die Bearbeitung im Wege automatischer Vorgänge abläuft.

RA Christian Solmecke war zum DSGVO im Rahmen von Liveübertragungen beiternTV. 17 DSGVO gibt den Betreffenden das "Recht, vergessen zu werden". Die Idee, dass persönliche Angaben zu löschen sind, ist jedoch nicht unbekannt. Ein Recht auf Löschen der eigenen Angaben liegt vor, wenn: Für die Zweckbestimmung, für die sie gesammelt oder anderweitig bearbeitet wurden, sind die persönlichen Angaben nicht mehr erforderlich.

Sie entzieht die Zustimmung, die der Datenverarbeitung gemäß den Artikeln 6 Nummer 1 Buchstaben a) und a) zugrunde liegt, und es gibt keine andere rechtliche Grundlage für die Datenverarbeitung. Einwände gegen die Bearbeitung. Ihre persönlichen Angaben wurden rechtswidrig behandelt. Das Löschen personenbezogener Informationen ist notwendig, um einer gesetzlichen Pflicht nach dem Recht der Union oder den Rechtsvorschriften der Mitgliedsstaaten, denen der für die Datenverarbeitung zuständige Mitgliedstaat unterworfen ist, nachzukommen.

Personenbezogene Angaben wurden im Zusammenhang mit Diensten der Gesellschaft gemäß den Bestimmungen von Art. 8 Abs. 1 erlangt. 1 ) ist notwendig, soweit das in Abs. 1 bezeichnete Recht geeignet ist, die Erreichung der mit einer solchen Bearbeitung verfolgten Zwecke zu verunmöglichen oder die für die Durchsetzung, Wahrnehmung oder Abwehr von Ansprüchen erforderliche Bearbeitung erheblich zu beeinträchtigen.

Die DSGVO reguliert ein "Recht auf Berichtigung". Dementsprechend können die Betroffenen die Korrektur unrichtiger personenbezogener Angaben und - unter Beachtung der Verarbeitungszwecke - die Ergänzung unvollständiger personenbezogener Angaben ersuchen. Schliesslich ist das Recht, die Bearbeitung einzuschränken, in Artikel 18 DSGVO festgelegt. Dementsprechend hat die betroffenen Personen das Recht, vom für die Datenverarbeitung zuständigen Sachbearbeiter unter bestimmten Bedingungen eine Beschränkung der Datenverarbeitung zu fordern (Art. 18 Abs. 1 Buchst. a - d DSGVO).

Die §§ 13 und 14 DSGVO enthalten umfassende Auskunftspflichten für die Verantwortlichen, die den Betreffenden mitteilt werden. Es ist auf eine genaue, nachvollziehbare, leicht erreichbare und leicht lesbare Gestaltung sowie eine deutliche und deutliche Formulierung zu achten (§ 12 Abs. 1 DSGVO). Diese Informationspflicht besteht sowohl im Internet (z.B. in der Datenschutzerklärung) als auch im Internet, z.B. für Nutzer vor Ort. 2.

Mit diesen weitergehenden Verpflichtungen soll der Schutz der Privatsphäre im Verhältnis zu den derzeit gültigen Vorschriften des BDSG gestärkt werden. In diesem Zusammenhang gliedert sich der DSBER nach der Informationspflicht, wenn persönliche Angaben unmittelbar bei der betreffenden Person erfasst werden (Art. 13 DSBER) und nach der Situation, in der die Angaben von Dritten (d.h. nicht von der betreffenden Person selbst) stammen (Art. 14 DSBER): Werden die Angaben unmittelbar bei der betreffenden Person gemacht, müssen folgende Angaben gemäß Artikel 13 Abs. 1 DSBER gemacht werden:

Gegebenenfalls Namen und Kontaktangaben des Inhabers der Verarbeitung Kontaktangaben des Beauftragten für den Datenschutz (DSB), Beschreibung der legitimen Belange (wenn die Verarbeitung auf dem Interessenausgleich gemäß 6 Abs. 1 f) DSGVO beruht), ggf. Adressaten oder Empfängerkategorien der zu übermittelnden personenbezogenen Angaben gemäß § 13 Abs. 1 DSGVO.

Um eine gerechte und übersichtliche Datenbearbeitung zu ermöglichen, müssen folgende Zusatzinformationen zur Verfugung stehen: Angaben zu den Rechten der Datensubjekte (Auskunft, Richtigstellung, Streichung, Einschränkung der Bearbeitung, Einspruchsrecht in besonderen Situationen, Datenübertragbarkeit und Einspruchsrecht bei der Aufsichtsbehörde), Grundlagen für die Datenbereitstellung auf rechtlicher oder vertragsrechtlicher Ebene und Konsequenzen der Nichterbringung, Werden sie von Dritten (z.B. durch Übermittlung) und nicht unmittelbar beim Datensubjekt erfasst, so sind geringfügig geänderte Auskunftspflichten nach § 14 DSGVO zu beachten:

Gemäß 14 Abs. 1 DSGVO sind im Grunde die selben Angaben zu machen wie bei der direkten Befragung. Da dem Betroffenen jedoch die weitere Bearbeitung nicht bekannt ist, muss er auch darüber informiert werden, welche Arten von Personendaten bearbeitet werden. Gemäß Artikel 14 Absatz 2 DSGVO müssen die Datenquellen und auch die Angaben aufgeführt werden.

Erfolgt die Datenerhebung unmittelbar bei der betroffene Person, sind die Angaben nach 13 DSGVO zum Erhebungszeitpunkt mitzuteilen oder zur Kenntnis zu bringen. Im Falle der Weiterverarbeitung der Angaben durch Dritte können die Angaben gemäß 14 DSGVO auch zu einem späteren Termin gemacht werden. Die zuständige Person muss die Angaben innerhalb einer vernünftigen Zeit nach Erhalt der Angaben machen - die zeitliche Begrenzung hängt von den jeweiligen Gegebenheiten ab, darf jedoch einen Zeitraum von einem Jahr nicht überschreiten.

Beispielsweise hat der Betreffende kein Auskunftsrecht, wenn er bereits über diese Information verfügte. Die Ausnahmeregelungen betreffen jedoch nur die Auskunftspflichten nach § 14 DSGVO. Prinzipiell muss jeder Websitebetreiber eine Erklärung zum Datenschutz bereit halten, damit dem Nutzer klar wird, welche personenbezogenen Nutzungsdaten wie und zu welchem Zweck erfasst werden.

Informieren Sie sich hier über das gesamte Spektrum rund um das Themengebiet Datenschutz. Bei Gültigkeit der DSGVO-Webseite müssen Betreiber jedoch neue Vorgaben zu dieser DatenschutzerklÃ?rung berÃ?cksichtigen. Es ist anzugeben, auf welcher rechtlichen Grundlage die Verarbeitung der Daten erfolgt (Art. 13 Abs. 1 c)). Deshalb erfüllt keine der bisher eingesetzten Datenschutzhinweise die Vorgaben der DSGVO.

Deshalb muss jeder, der eine Website unterhält, seine Datenschutzbestimmungen zwingend an die DSGVO angleichen. Gemäß Artikel 22 des DSBER haben die betroffenen Personengruppen das Recht, sich nicht einer allein auf die automatisierte Bearbeitung - einschließlich der Profilerstellung - gestützten Entscheidungsfindung zu unterwerfen, die gegen sie Rechtswirkung hat oder sie in gleicher Form wesentlich beeinflusst.

Hierzu gehört insbesondere das Profilieren (z.B. für Werbung), bei dem mit Hilfe von Informationen Persönlichkeitseigenschaften wie z. B. Arbeitsleistungen, Wirtschaftslage, Gesundheit, persönliche Präferenzen oder Belange, Verlässlichkeit oder Verhaltensweisen analysiert oder prognostiziert werden. Die Erhebung und Auswertung von Profildaten selbst fällt daher nicht unter den Anwendungsbereich von § 22 DSGVO.

Die Untersagung einer solchen Beschlussfassung entfällt in Ausnahmefällen nach Absatz 2, wenn eine automatische Beschlussfassung, z.B. für den Abschluß oder die Vertragserfüllung mit der betreffenden Person notwendig ist oder mit der ausdrücklichen Zustimmung der betreffenden Person ergangen ist. Darüber hinaus sieht 37 BDSG (Neufassung) weitere Ausnahmeregelungen vor - unter anderem, wenn dem Antrag des Betreffenden ohne Einschränkung entsprochen wird und für Krankenkassen im Zuge der Leistungsträger.

In solchen Faellen muss dem Betreffenden jedoch die Moeglichkeit gegeben werden, die automatische Entscheidungsfindung zu ueberpruefen. Grundsätzlich sind solche Entscheide jedoch für die bereits geschilderten besonders sensitiven Angaben untersagt (Art. 22 Abs. 4, 9 DSGVO). Die DSGVO räumt dem Datenschutz einen noch größeren Vorrang ein als das BDSG in der alten Fassung.

Die DSGVO hat daher auch höchste Ansprüche an die Technologie und die innere Ordnung des Sachbearbeiters. Die zuständigen Stellen müssen gemäß Artikel 24 und 25 DSGVO entsprechende fachliche und technische Massnahmen (TOM) ergreifen: Zur Sicherstellung der Beachtung der datenschutzrechtlichen Grundsätze (Art. 5 Abs. 1 DSGVO), vor allem der Datensparsamkeit (Art. 5 Abs. 1 Buchst. c) DSGVO) und der Sicherheit der Daten (Art. 5 Abs. 1 Buchst. f) DSGVO), zur Erfüllung der Erfordernisse der DSGVO und zum Schutz der Rechte der Betroffenen (Datenschutz durch Technologie, Artikel 25 Abs. 1 DSGVO, auch "Privacy by Design" genannt).

Die konkreten Massnahmen richten sich unter anderem nach dem aktuellen Kenntnisstand, der Wahrscheinlichkeit des Eintretens und der Höhe der mit der Bearbeitung von Persönlichkeitsrechten und Grundfreiheiten verbundenen Gefahren sowie den entsprechenden Umsetzungskosten (Art. 25, 32 DSGVO). Die Massnahmen müssen in einem wirtschaftlichen Gleichgewicht mit der Notwendigkeit des Schutzes der bearbeiteten Personendaten sein.

In § 32 Abs. 1 DSGVO erwähnt das Recht wesentliche, aber nicht abschliessende Anforderungen an Massnahmen: die pseudonymisierte und verschlüsselte Erfassung von Personendaten; ein Vorgehen zur regelmässigen Prüfung, Beurteilung und Beurteilung der Effektivität von Massnahmen zur Sicherstellung der Verarbeitungssicherheit. Schliesslich beinhaltet die interne Sicherung auch Betriebsanweisungen an die Mitarbeiter - wie z.B. eine Kontrollrichtlinie für den Datentransfer, ein Archivierungs-, Speicher- und Löschungskonzept, Hinweise, wie auf Informationsanfragen der Beteiligten zu antworten ist oder was im Ernstfall zu tun ist.

Darüber hinaus müssen technische Einrichtungen und vor allem IT-Anwendungen künftig so eingestellt werden, dass nur die für den jeweils spezifischen Bearbeitungszweck notwendigen Informationen erfasst werden. datenschutzrechtliche Vorgaben, Artikel 25 Abs. 2 DSGVO, auch "Privacy by default" oder "Datenschutz" genannt. Die in § 35 DSGVO standardisierte Datenschutzfolgenabschätzung (DSFA) führt nichts Grundsätzliches ein.

Zu diesem Zweck müssen die Verantwortlichen beurteilen, ob die betreffende Datenverarbeitung ein hohes Maß an Gefährdung für die Rechte oder die Freiheit der betreffenden Person darstellt. Alle Verantwortlichen müssen zunächst eine systematisch durchgeführte Gefährdungsbeurteilung (Schwellwertanalyse) durchführen, um zu überprüfen, ob eine weitere Datenschutzverträglichkeitsprüfung erforderlich ist. Bei mehreren gleichartigen Verarbeitungen mit gleichem Gefährdungspotential ist eine gemeinschaftliche Bewertung ausreichend ( 35 Abs. 2 S. 2 DSGVO).

Eine solche Gefahr liegt nach § 35 Abs. 3 DSGVO vor, und zwar vor allem beim Einsatz von neuen Techniken, die automatisch, gezielt und vollständig Informationen sammeln, aufbereiten und auswerten. Ein solches kann auch aufgrund von Natur, Umfang, Umständen und Zwecken der Bearbeitung vorliegen. Schliesslich kann die Bearbeitung spezieller Datenkategorien (z.B. gesundheitliche Angaben oder religiöse Zugehörigkeit im Sinne von Artikel 9 DSGVO) eine weitere Überprüfung erforderlich machen.

Aber auch wenn Sie besonders sensible Informationen bearbeiten, muss das nicht unbedingt ein erhöhtes Sicherheitsrisiko bedeuten - das ist abhängig von Ihrem Schutzkonzept. Von der Aufsichtsbehörde wird eine Auflistung der Verarbeitungen veröffentlicht, für die eine verbindliche Datenschutzverträglichkeitsprüfung gemäß § 35 Abs. 4 DSGVO durchgeführt werden muss (sog. Blacklist). Ist ein solches Verfahrensrisiko vorhanden, müssen Sie in einem zweiten Schritt beurteilen, ob die vorgesehenen Sanierungs- und Sicherheitsmaßnahmen für den Datenschutz ausreichend sind.

Sie müssen außerdem nachweisen, dass Sie die DSGVO erfüllt haben und die Belange der Beteiligten berücksichtigt werden. Kommt Ihre Einschätzung zu dem Schluss, dass trotz der Intervention von technischen und organisatorischen Massnahmen ein erhöhtes Gefährdungspotential für die Rechte und Pflichten der natuerlichen Personen besteht, muessen Sie in einem dritten Schritt die Aufsichtsbehoerde zu Rate ziehen (Art. 36 Abs. 1 DSGVO).

Dieser kann dann innerhalb von 8 Monaten eine Empfehlung abgeben (Art. 36 Abs. 2 DSGVO). Dieser Zeitraum kann von der Kontrollstelle je nach Umfang der vorgesehenen Datenverarbeitung ausgedehnt werden. Wurde im Betrieb ein Beauftragter für den Datenschutz ernannt, wird er auf Wunsch in beratender Funktion an der Erstellung einer Datenschutzfolgenabschätzung beteiligt (Art. 35 Abs. 2 und 39 Abs. 1 c) DSGVO).

Die Melde- und Informationspflicht für Datenvorfälle nach § 42a BDSG richtet sich künftig nach den Bestimmungen des § 33 DSGVO. Dementsprechend sind alle Verstöße gegen den Schutz persönlicher Angaben zu melden, es sei denn, das Gefährdungspotential von Persönlichkeitsrechten und Grundfreiheiten ist gering. Die Verantwortlichen haben solche Vorfälle sofort und nach Möglichkeit innerhalb von 72 Std: nach Kenntniserlangung des Verstoßes der Aufsichtsstelle zu melden und mindestens folgende Angaben gemäß § 33 Abs. 3 DSGVO zu machen:

Bezeichnung des Vorfalls, Angaben zur betreffenden Datenkategorie, Zahl der betreffenden Datensubjekte und -sätze, Namen und Kontaktangaben des behördlichen Beauftragten für den Datenschutz oder einer anderen sachkundigen Kontaktperson, Darstellung der Auswirkungen der Datenschutzverletzung, Darstellung der getroffenen oder geplanten Gegenmaßnahmen. Darüber hinaus hat der Sachbearbeiter die betreffende Person über den Verstoß zu informieren, wenn die Missachtung des Datenschutzes ein erhebliches Gefährdungspotential für die Persönlichkeitsrechte und Grundfreiheiten von natürlichen Personen mit sich bringen kann (§ 34 Abs. 1 DSGVO).

Eine Mitteilungspflicht nach 34 Abs. 1 DSGVO besteht nicht mehr, wenn: der Inhaber der Datensammlung Vorsorge dafür trifft, dass die Informationen für Unbefugte nicht zugänglich sind, z.B. durch Datenverschlüsselung (Art. 34 Abs. 3 Bst. a) DSGVO), der Inhaber anschließend Massnahmen ergreift, die geeignet sind, die Gefährdung der Rechte und Grundfreiheiten der betreffenden Personen auszuschalten (Art. 3 Abs. 3 Buchst. b) DSGVO) wäre ein überproportionaler Kostenaufwand erforderlich - in diesem Fall muss jedoch eine Veröffentlichung oder eine vergleichbare Massnahme vorgenommen werden (Art. 34 Abs. 3 Buchst. c) DSGVO).

Die DSGVO schreibt in 30 vor, dass der Sachbearbeiter oder der Verarbeiter eine "Liste der Verarbeitungstätigkeiten" vorzuhalten hat. In Anlehnung an das bisherige Verfahrensregister nach 4g Abs. 2 in Verbindung mit § 4e BDSG ist dies eine Beschreibung und ein Überblick über alle Vorgänge, in denen persönliche Angaben aufbereitet werden.

Von dieser Verpflichtung nach 30 Abs. 5 DSGVO können Betriebe mit weniger als 250 Mitarbeitern unter gewissen Bedingungen befreit werden. In der neuen Regelung sind gegenüber der vorherigen Gesetzeslage weitere Informationen wie z. B. Namen und Kontaktangaben des benannten Beauftragten für den Datenschutz, Löschungsfristen und die TOM vorgesehen.

Diese Liste muss auch der Aufsicht auf Verlangen zur Verfuegung gestellt werden. Neben der Auflistung der Verarbeitungsvorgänge sind die Verantwortlichen für die Beachtung der datenschutzrechtlichen Grundsätze zuständig (§ 5 Abs. 1 DSGVO: Legalität, Offenheit, Zweckbindung, Datenvermeidung, Genauigkeit, Speicherplatzbegrenzung, Erreichbarkeit, Unversehrtheit und Geheimhaltung, Ausfallsicherheit, Störfestigkeit und gutgläubige Verarbeitung) gegenüber der Aufsichtsstelle nachweisen ("Accountability", § 5 Abs. 2 DSGVO).

Dies bedeutet, dass die Verantwortlichen nicht nur ihre gesamte Datenverarbeitung, sondern auch die von ihnen ergriffenen Massnahmen zur Erfüllung der DSGVO nachweisen müssen. Die Verantwortlichen für die Pflege einer Liste von Bearbeitungsvorgängen haben damit bereits einen Teil ihrer Verantwortung erfüllet. Dazu kommt die Dokumentierung rechtlicher Zustimmungen, der Beweis, dass die persönlichen Angaben gesetzeskonform behandelt werden oder das Resultat einer eventuellen Datenschutzverträglichkeitsprüfung.

Selbst wer keine Liste der Bearbeitungstätigkeiten führt, muss der Aufsicht gegenüber die Einhaltung der DSGVO vorweisen. Darüber hinaus wird empfohlen, alle für das Datenschutzrecht bedeutsamen Massnahmen in einer für Ihr Haus bindenden Datenschutz- oder Informationssicherheitsrichtlinie zu erfassen. Dies sollte alle Gesichtspunkte umfassen, die der internen Umsetzung der DSGVO in der Praxis dienlich sind.

Gemäß 26 DSGVO ist es künftig auch mehreren zuständigen Gremien gestattet, die zulässige Datenbearbeitung mitzutragen. Die Betroffenen können jedoch ihre Rechte gegenüber jedem Einzelverantwortlichen durchsetzen. Auch die Auftragsabwicklung (vormals: Auftragsdatenverarbeitung) ist künftig in den 28 und 29 DSGVO zugelassen. Dies bedeutet die Erfassung, Bearbeitung oder Verwendung personenbezogener Informationen durch einen Verarbeiter gemäß den Anweisungen des für die Kontrolle zuständigen Sachbearbeiters auf der Basis eines schriftlich abgeschlossenen Vertrages.

Dazu gehören z.B. Firmen, die ihre Kundendaten in einem fremden Datenzentrum ablegen oder eine fremde Instanz mit der Rechnungserstellung betrauen. Eine Auftragsbearbeitung ist nur erlaubt, wenn der Verarbeiter ausreichende Gewähr für eine einwandfreie Datenbearbeitung gibt. 28 DSGVO beinhaltet eine umfassende Auflistung der regulatorischen Inhalte sowie der im Auftrag zu vereinbarenden Rechte und Verpflichtungen.

Nach wie vor ist die Verarbeitung von Informationen und auch die Auftragsabwicklung in Drittländern nur dann erlaubt, wenn dort ein ausreichendes Maß an Datenschutz sichergestellt ist. Nach der DSGVO gilt die bisher geltende Einschränkung, dass keine speziellen Arten von Informationen (z.B. Gesundheitsdaten) in Drittländern bearbeitet werden dürfen - auch nicht bei einem angemessenen Datenschutz. 37 DSGVO verpflichtet die Betriebe, einen Beauftragten für den Datenschutz zu bestellen, wenn ihre Haupttätigkeit oder die ihres Auftragsverarbeiters: 38 BDSG in der jeweils gültigen Fassung verlängert die Errichtungsgründe.

Es ist auch notwendig, wenn der Sachbearbeiter oder Auftragsverarbeiter: Der Beauftragte für den Datenschutz muss über eine entsprechende fachliche Qualifikation verfügen. Sie können Angestellte des Datenverarbeitungsunternehmens sein, aber auch externe. Die DSGVO, der Beauftragte für den Datenschutz, soll früh eingebunden werden, ist frei von technischen Anweisungen und meldet sich direkt an die oberste Führungsebene.

Gemäß 39 DSGVO gehören zu seinen Aufgabenstellungen die: Information und Konsultation des Sachbearbeiters bzw. Auftragsbearbeiters und seiner Mitarbeiter; er kann auch andere Tätigkeiten im Betrieb ausführen, sofern dadurch keine Interessenskonflikte entstehen. Zuerst können die zustaendigen Aufsichtsbehoerden Geldbussen nach Artikel 83 DSGVO verhaengen. Darüber hinaus gibt es noch die Möglickeit, bei Verstößen gegen das Datenschutzrecht eine Abmahnung zu erhalten, die - je nach Umfang und Anzahl der Verletzungen - zu hohen Abmahnungskosten führen kann.

Ebenfalls eine Neuerung ist, dass die Betroffenen im Zuge ihrer Schadenersatzforderungen nun auch ihren unwesentlichen Schadensersatz wegen Datenschutzverletzung beanspruchen können. Das DSGVO weitet die bereits bestehenden Verpflichtungen für Firmen aus und verschärft die gesetzlichen, betriebswirtschaftlichen und technisch-organisatorischen Vorgaben für den Datensicherheit. Vor allem die umfassende Informationspflicht und die Verpflichtung zur Durchführung einer Datenschutzverträglichkeitsprüfung bei speziellen Gefahren für die gesammelten Informationen sind Neuerungen.

Mit dem deutschen Ausführungsgesetz werden auch die Begründungen für die Bestellung eines Beauftragten für den Datenschutz ausgeweitet. Schliesslich müssen die Firmen auch den gestiegenen Anforderungen der Beteiligten nachkommen. In diesem Zusammenhang wird klar, dass die gesetzeskonforme Implementierung der DSGVO eine eingehende Überprüfung und einen bestimmten Arbeitsaufwand voraussetzt. Es wird daher empfohlen, sich schnellstmöglich von einem Anwalt oder externem Beauftragten für den Datenschutz ausführlich informieren zu lassen, um die notwendigen neuen Verfahren frühzeitig zu errichten.

Die Fachanwälte für den Bereich Datensicherheit, allen voran unser Beauftragter für den Bereich Datensicherheit Peter Mainzer mit seiner langjährigen Berufserfahrung im Bereich des betrieblichen Daten- und Persönlichkeitsschutzes, können Sie ausführlich und rechtlich abgesichert betreuen.