Datenschutz
(BDSG-neu) geben Rahmenbedingungen für
Daten für alle Unternehmen vor. Wir helfen
enthaltenen Vorgaben.
Datenschutzziel
Gewährleistung von:


Vertraulichkeit
Schutz vor unbefugter Preisgabe von Informationen.

Verfügbarkeit
Es ist sicherzustellen, dass Daten zeitgerecht zur Verfügung
stehen und ordnungsgemäß verarbeitet werden können.

Integrität
Es ist sicherzustellen, dass Daten während der
Verarbeitung unversehrt, vollständig und aktuell bleiben.

Belastbarkeit
Die Fähigkeit der Systeme, unter hoher Inanspruchnahme-Frequenz
ordnungsgemäß zu funktionieren, ist sicherzustellen
Pflichten für Unternehmen
Die EU-DSGVO statuiert eine Reihe von Pflichten,
welche die Unternehmen zwingend beachten müssen.
Informationspflichten
Sehr umfassend geregelt sind die Informationspflichten gegenüber dem Betroffenen. Dieser muss im Moment der Datenerhebung durch klare und einfache Sprache präzise, transparent, verständlich und leicht zugänglich über die Erhebung seiner Daten informiert werden (Art. 13, 14).
Er ist insbesondere zu informieren über:
Widerrufsmöglichkeit
Beschwerderechte
die Quelle der Datenerhebung, sofern sie nicht beim Betroffenen selbst erhoben werden
Zweck der Verarbeitung
einen beabsichtigten Transfer in ein Drittland
Betroffenenrechte
Die größte Veränderung wird die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 EU-DSGVO darstellen. Wird eine solche Verletzung erkannt, muss diese unverzüglich – möglichst binnen 72 Stunden nach Bekanntwerden der Störung – der zuständigen Aufsichtsbehörde mitgeteilt werden. Eine Meldung ist nur dann nicht erforderlich, wenn ein Risiko für die Rechte und Freiheiten von natürlichen Personen unwahrscheinlich ist. Wann ein solches Risiko nicht besteht, ist dabei durch das jeweilige Unternehmen selbst zu ergründen. Der Prüfung eines „voraussichtlichen“ Risikos für die Rechte der Betroffenen wird somit entscheidende Bedeutung zukommen, die den Spagat zwischen Schutz der Reputation und Vermeidung horrender Bußgelder zu bewerkstelligen haben wird. Neben der Meldung an die zuständige Datenschutzbehörde ist der Betroffene selbst durch das Unternehmen zu informieren, falls die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte zur Folge hat.
Datenschutz-Folgenabschätzung
Zukünftig haben Unternehmen im Vorfeld einer, insbesondere durch neue Technologien durchgeführten, Verarbeitung eine Datenschutz-Folgenabschätzung vorzunehmen (Art 35 EU-DSGVO). Hierbei ermittelt der Verantwortliche mögliche Auswirkungen der Verarbeitung auf den Schutz der personenbezogenen Daten. Eine solche ist immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, was insbesondere bei der Verarbeitung sensibler Daten in großem Umfang oder aufgrund eines systematischen und umfassenden Profilings erforderlich sein wird.
Bei Planung, spätestens vor Einführung neuer Verfahren ist in jedem Fall gründlich zu prüfen, ob eine Folgenabschätzung durchgeführt werden muss. Die Entscheidung, eine solche nicht durchzuführen, muss sorgfältig begründet werden.
Privacy by Design / Privacy by Default
Gänzlich neu sind die Regelungen zu Privacy by Design und Privacy by Default. Art. 25 Abs. 1 EU-DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass die Datenschutzgrundsätze, z.B. Datenminimierung eingehalten werden („Privacy by Design“). Dabei hat er insbesondere den Stand der Technik, Implementierungskosten oder die Wahrscheinlichkeit des Eintritts von Risiken zu berücksichtigen. Erreicht werden soll, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung bedacht wird. Nach Art 25 Abs. 2 EU-DSGVO sind zudem Voreinstellungen so zu treffen, dass lediglich erforderliche Daten erhoben werden („Privacy by Default“).
Technische und organisatorische Massnahmen(TOM)
Die technischen und organisatorischen Maßnahmen (TOM) umfassen im Schwerpunkt Maßnahmen, die Daten vor fehlerhaften Eingaben oder unberechtigten Zugriffen schützen sollen. Artikel 32 DSGVO / § 64 BDSG beschreiben die technisch organisatorischen Maßnahmen, die vom Zutritt, Zugriff, Zugang bis hin zur Trennung und Zweckzuordnung für die Datenhaltung personalisierter Art klare Vorgaben machen. Hier spielt auch die IT-Sicherheit, die Datensicherheit eine feste Größe.
Verschärfung der strafrechtlichen und zivilrechtlichen Sanktionen
|
Bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes, je nach dem, was höher ist
--------------------------------------------------------------------
Pflichten gemäß den Artikeln 8, 11, 25 bis 39, 41 Abs. 4, 42 und 43;
-------------------------------------------------------------------
Verantwortliche
Auftragsverarbeiter
Zertifizierungsstelle
Überwachungsstelle
Bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4% seines weltweiten Jahresumsatzes, je nach dem, was höher ist
---------------------------------------------------------------------
Verstöße gegen die folgenden Bestimmungen: Artikel 5, 6, 7 und 9, 12-22, 44-49, 58 Abs. 1, 2
----------------------------------------------------------------------
Verantwortliche
Auftragsverarbeiter