Datenschutz 

Die größte Veränderung wird die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 EU-DSGVO darstellen. Wird eine solche Verletzung erkannt, muss diese unverzüglich – möglichst binnen 72 Stunden nach Bekanntwerden der Störung – der zuständigen Aufsichtsbehörde mitgeteilt werden. Eine Meldung ist nur dann nicht erforderlich, wenn ein Risiko für die Rechte und Freiheiten von natürlichen Personen unwahrscheinlich ist. Wann ein solches Risiko nicht besteht, ist dabei durch das jeweilige Unternehmen selbst zu ergründen. Der Prüfung eines „voraussichtlichen“ Risikos für die Rechte der Betroffenen wird somit entscheidende Bedeutung zukommen, die den Spagat zwischen Schutz der Reputation und Vermeidung horrender Bußgelder zu bewerkstelligen haben wird. Neben der Meldung an die zuständige Datenschutzbehörde ist der Betroffene selbst durch das Unternehmen zu informieren, falls die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte zur Folge hat.

Zukünftig haben Unternehmen im Vorfeld einer, insbesondere durch neue Technologien durchgeführten, Verarbeitung eine Datenschutz-Folgenabschätzung vorzunehmen (Art 35 EU-DSGVO). Hierbei ermittelt der Verantwortliche mögliche Auswirkungen der Verarbeitung auf den Schutz der personenbezogenen Daten. Eine solche ist immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, was insbesondere bei der Verarbeitung sensibler Daten in großem Umfang oder aufgrund eines systematischen und umfassenden Profilings erforderlich sein wird.

Bei Planung, spätestens vor Einführung neuer Verfahren ist in jedem Fall gründlich zu prüfen, ob eine Folgenabschätzung durchgeführt werden muss. Die Entscheidung, eine solche nicht durchzuführen, muss sorgfältig begründet werden.

Gänzlich neu sind die Regelungen zu Privacy by Design und Privacy by Default. Art. 25 Abs. 1 EU-DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass die Datenschutzgrundsätze, z.B. Datenminimierung eingehalten werden („Privacy by Design“). Dabei hat er insbesondere den Stand der Technik, Implementierungskosten oder die Wahrscheinlichkeit des Eintritts von Risiken zu berücksichtigen. Erreicht werden soll, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung bedacht wird. Nach Art 25 Abs. 2 EU-DSGVO sind zudem Voreinstellungen so zu treffen, dass lediglich erforderliche Daten erhoben werden („Privacy by Default“).