Datenschutz

Die europäische Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSGneu) geben Rahmenbedingungen für die Verarbeitung von personenbezogenen Daten für alle Unternehmen vor. Wir helfen Ihnen bei der rechtskonformen Umsetzung aller gesetzlichen Vorgaben und der darin enthaltenen Vorgaben.

Datenschutzziel

Gewährleistung von:

Vertraulichkeit
Schutz vor unbefugter Preisgabe von Informationen
Verfügbarkeit
Es ist sicherzustellen, dass Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können.
Integrität

Es ist sicherzustellen, dass Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben.

Belastbarkeit
Die Fähigkeit der Systeme, unter hoher Inanspruchnahmefrequenz ordnungsgemäß zu funktionieren, ist sicherzustellen

Pflichten für Unternehmen

Die EU-DSGVO statuiert eine Reihe von Pflichten, welche die Unternehmen zwingend beachten müssen.

Informationspflichten

Sehr umfassend geregelt sind die Informationspflichten gegenüber dem Betroffenen. Dieser muss im Moment der Datenerhebung durch klare und einfache Sprache präzise, transparent, verständlich und leicht zugänglich über die Erhebung seiner Daten informiert werden (Art. 13, 14). Er ist insbesondere

zu informieren über:

Zweck der Verarbeitung,
einen beabsichtigten Transfer in ein Drittland,
Betroffenenrechte,
Widerrufsmöglichkeit,
Beschwerderechte,
die Quelle der Datenerhebung, sofern sie nicht beim Betroffenen selbst erhoben werden.

Meldepflicht

Die größte Veränderung wird die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 EU-DSGVO darstellen. Wird eine solche Verletzung erkannt, muss diese unverzüglich – möglichst binnen 72 Stunden nach Bekanntwerden der Störung – der zuständigen Aufsichtsbehörde mitgeteilt werden. Eine Meldung ist nur dann nicht erforderlich, wenn ein Risiko für die Rechte und Freiheiten von natürlichen Personen unwahrscheinlich ist. Wann ein solches Risiko nicht besteht, ist dabei durch das jeweilige Unternehmen selbst zu ergründen. Der Prüfung eines „voraussichtlichen“ Risikos für die Rechte der Betroffenen wird somit entscheidende Bedeutung zukommen, die den Spagat zwischen Schutz der Reputation und Vermeidung horrender Bußgelder zu bewerkstelligen haben wird. Neben der Meldung an diezuständige Datenschutzbehörde ist der Betroffene selbst durch das Unternehmen zu informieren, falls die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte zur Folge hat.

Datenschutz-Folgenabschätzung

Zukünftig haben Unternehmen im Vorfeld einer, insbesondere durch neue Technologien durchgeführten, Verarbeitung eine Datenschutz-Folgenabschätzung vorzunehmen (Art 35 EU-DSGVO). Hierbei ermittelt der Verantwortliche mögliche Auswirkungen der Verarbeitung auf den Schutz der personenbezogenen Daten. Eine solche ist immer dannerforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, was insbesondere bei der Verarbeitung sensibler Daten in großem Umfang oder aufgrund eines systematischen und umfassenden Profilings erforderlich sein wird.
Bei Planung, spätestens vor Einführung neuer Verfahren ist in jedem Fall gründlich zu prüfen, ob eine Folgenabschätzung durchgeführt werden muss. Die Entscheidung, eine solche nicht durchzuführen, muss sorgfältig begründet werden.

Privacy by Design / Privacy by Default

Gänzlich neu sind die Regelungen zu Privacy by Design und Privacy by Default. Art. 25 Abs. 1 EU-DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass die Datenschutzgrundsätze, z.B. Datenminimierung eingehalten werden („Privacy by Design“). Dabei hat er insbesondere den Stand der Technik, Implementierungskosten oder die Wahrscheinlichkeit des Eintritts von Risiken zu berücksichtigen. Erreicht werden soll, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung bedacht wird. Nach Art 25 Abs. 2 EU-DSGVO sind zudem Voreinstellungen so zu treffen, dass lediglich erforderliche Daten erhoben werden („Privacy by Default“).

Technische und organisatorische Maßnahmen(TOM)

Die technischen und organisatorischen Maßnahmen (TOM) umfassen im Schwerpunkt Maßnahmen, die Daten vor fehlerhaften Eingaben oder unberechtigten Zugriffen schützen sollen. Artikel 32 DSGVO / § 64 BDSG beschreiben die technisch organisatorischen Maßnahmen, die vom Zutritt, Zugriff, Zugang bis hin zur Trennung und Zweckzuordnung für die Datenhaltung personalisierter Art klare Vorgaben machen. Hier spielt auch die IT-Sicherheit, die Datensicherheit eine feste Größe.

Verschärfung der strafrechtlichen und zivilrechtlichenSanktionen

Bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes, je nach dem, was höher ist

Pflichten gemäß den Artikeln 8, 11, 25 bis 39, 41 Abs. 4, 42 und 43;

Verantwortliche;
Auftragsverarbeiter

Zertifizierungsstelle

Überwachungsstelle

Bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4% seines weltweiten Jahresumsatzes, je nach dem, was höher ist

Verstöße gegen die folgenden

Bestimmungen:

Artikel 5, 6, 7 und 9, 12-22, 44-49, 58 Abs. 1, 2

Verantwortliche,

Auftragsverarbeiter