Datenschutz 

Die europäische Datenschutz-Grundverordnung
(DS-GVO) und das Bundesdatenschutzgesetz
(BDSG-neu) geben Rahmenbedingungen für
 die Verarbeitung von personenbezogenen
Daten für alle Unternehmen vor. Wir helfen 
Ihnen bei der rechtskonformen Umsetzung
aller gesetzlichen Vorgaben und der darin
enthaltenen Vorgaben. 

                      Datenschutzziel

                      Gewährleistung von:


                            Vertraulichkeit

                            Schutz vor unbefugter Preisgabe von Informationen.

                            Verfügbarkeit

                            Es ist sicherzustellen, dass Daten zeitgerecht zur Verfügung

                            stehen und ordnungsgemäß verarbeitet werden können.

                            Integrität

                            Es ist sicherzustellen, dass Daten während der

                            Verarbeitung unversehrt, vollständig und aktuell bleiben.

                            Belastbarkeit

                            Die Fähigkeit der Systeme, unter hoher Inanspruchnahme-Frequenz

                            ordnungsgemäß zu funktionieren, ist sicherzustellen

                            Pflichten für Unternehmen


                            Die EU-DSGVO statuiert eine Reihe von Pflichten,

                            welche die Unternehmen zwingend beachten müssen.


                            Informationspflichten

                            Sehr umfassend geregelt sind die Informationspflichten gegenüber dem Betroffenen. Dieser muss im Moment der Datenerhebung durch klare und einfache Sprache präzise, transparent, verständlich und leicht zugänglich über die Erhebung seiner Daten informiert werden (Art. 13, 14).

                            Er ist insbesondere zu informieren über:

                            Widerrufsmöglichkeit

                            Beschwerderechte

                            die Quelle der Datenerhebung, sofern sie nicht beim Betroffenen selbst erhoben werden

                            Zweck der Verarbeitung

                            einen beabsichtigten Transfer in ein Drittland

                            Betroffenenrechte

                            Meldepflicht

                            Die größte Veränderung wird die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 EU-DSGVO darstellen. Wird eine solche Verletzung erkannt, muss diese unverzüglich – möglichst binnen 72 Stunden nach Bekanntwerden der Störung – der zuständigen Aufsichtsbehörde mitgeteilt werden. Eine Meldung ist nur dann nicht erforderlich, wenn ein Risiko für die Rechte und Freiheiten von natürlichen Personen unwahrscheinlich ist. Wann ein solches Risiko nicht besteht, ist dabei durch das jeweilige Unternehmen selbst zu ergründen. Der Prüfung eines „voraussichtlichen“ Risikos für die Rechte der Betroffenen wird somit entscheidende Bedeutung zukommen, die den Spagat zwischen Schutz der Reputation und Vermeidung horrender Bußgelder zu bewerkstelligen haben wird. Neben der Meldung an die zuständige Datenschutzbehörde ist der Betroffene selbst durch das Unternehmen zu informieren, falls die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte zur Folge hat.

                            Datenschutz-Folgenabschätzung  

                            Zukünftig haben Unternehmen im Vorfeld einer, insbesondere durch neue Technologien durchgeführten, Verarbeitung eine Datenschutz-Folgenabschätzung vorzunehmen (Art 35 EU-DSGVO). Hierbei ermittelt der Verantwortliche mögliche Auswirkungen der Verarbeitung auf den Schutz der personenbezogenen Daten. Eine solche ist immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, was insbesondere bei der Verarbeitung sensibler Daten in großem Umfang oder aufgrund eines systematischen und umfassenden Profilings erforderlich sein wird.

                            Bei Planung, spätestens vor Einführung neuer Verfahren ist in jedem Fall gründlich zu prüfen, ob eine Folgenabschätzung durchgeführt werden muss. Die Entscheidung, eine solche nicht durchzuführen, muss sorgfältig begründet werden.

                            Privacy by Design / Privacy by Default

                            Gänzlich neu sind die Regelungen zu Privacy by Design und Privacy by Default. Art. 25 Abs. 1 EU-DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass die Datenschutzgrundsätze, z.B. Datenminimierung eingehalten werden („Privacy by Design“). Dabei hat er insbesondere den Stand der Technik, Implementierungskosten oder die Wahrscheinlichkeit des Eintritts von Risiken zu berücksichtigen. Erreicht werden soll, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung bedacht wird. Nach Art 25 Abs. 2 EU-DSGVO sind zudem Voreinstellungen so zu treffen, dass lediglich erforderliche Daten erhoben werden („Privacy by Default“).


                            Technische und organisatorische Massnahmen(TOM)


                            Die technischen und organisatorischen Maßnahmen (TOM) umfassen im Schwerpunkt Maßnahmen, die Daten vor fehlerhaften Eingaben oder unberechtigten Zugriffen schützen sollen. Artikel 32 DSGVO / § 64 BDSG beschreiben die technisch organisatorischen Maßnahmen, die vom Zutritt, Zugriff, Zugang bis hin zur Trennung und Zweckzuordnung für die Datenhaltung personalisierter Art klare Vorgaben machen. Hier spielt auch die IT-Sicherheit, die Datensicherheit eine feste Größe.


                            Verschärfung der strafrechtlichen und zivilrechtlichen Sanktionen









                            Bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes, je nach dem, was höher ist


                            --------------------------------------------------------------------

                            Pflichten gemäß den Artikeln 8, 11, 25 bis                   39, 41 Abs. 4, 42 und 43;                                         

                            -------------------------------------------------------------------

                            Verantwortliche

                            Auftragsverarbeiter

                            Zertifizierungsstelle

                            Überwachungsstelle

                            Bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4% seines weltweiten Jahresumsatzes, je nach dem, was höher ist



                            ---------------------------------------------------------------------

                            Verstöße gegen die folgenden Bestimmungen: Artikel 5, 6, 7 und 9, 12-22, 44-49, 58 Abs. 1, 2

                            ----------------------------------------------------------------------

                            Verantwortliche

                            Auftragsverarbeiter




                            Strafrechtliche Sanktionen: § 42 BDSG neu, Freiheitsstrafe bis zu 3 Jahren
                            daneben: zivilrechtliche Ansprüche der Betroffenen Art 82