Datenschutz in Firmen

Datenschutz-Grundverordnung: Die Uhr läuft - wo Firmen agieren müssen

Noch nie war der Datenschutz so herausfordernd wie heute. Insbesondere die fortschreitende internationale Ausrichtung des Geschäftsalltags macht es notwendig, sich eingehend mit den datenschutzrechtlichen Bestimmungen der einzelnen Staaten zu befassen. Dazu kommt der technologische Vorsprung, der viele Fallstricke mit sich führt, insbesondere im Hinblick auf den Datenverkehr im Online-Umfeld. Deshalb hat die EU-Kommission entschieden, den Datenschutz zu harmonisieren und mit der Grundverordnung zum Datenschutz (EU DSGVO) einen zentralen Rahmen aufzustellen.

Sie ist als Direktive die Basis der Reform des Datenschutzes zur Neuordnung der Datenschutzvorschriften in den Mitgliedsstaaten. Bisher mussten in Deutschland die Firmen das BDSG beachten. In Zukunft müssen sie jedoch der grundlegenden Datenschutzverordnung Priorität beimessen. Das Europäische Parlaments hat die vorliegende Regelung bereits angenommen, und es sind dringende Maßnahmen erforderlich. Viele Innovationen stehen den Betrieben bevor, viele Abläufe müssen überarbeitet und adaptiert werden.

Die Bandbreite der datenschutzrechtlichen Veränderungen, die mit der EU DSGVO verbunden sind, ist groß. Die wichtigsten datenschutzrechtlichen Themen der Synopsis haben wir für Sie aufbereitet. Wir erklären auf dieser Website ausführlich, welche Innovationen und Veränderungen zu beachten sind, damit der Datenschutz in den Betrieben auch in den kommenden Jahren ein ausreichendes Niveau erreicht. Beispielsweise sind die dt. Firmen nach wie vor verpflichtet, einen Beauftragten für den Datenschutz zu benennen, wenn bestimmte Anforderungen erfüllt sind.

Bei der Erfassung und Bearbeitung von personenbezogenen Nutzdaten kommt der Zweckbestimmung zugute. Die Erfassung der Informationen darf nur zu einem vorher festgelegten Verwendungszweck erfolgen. Häufig wollen Firmen die Informationen für andere Verwendungszwecke verwenden. Erstmals sind die Betriebe nach der Inkraftsetzung der Grundverordnung zum Datenschutz verpflichtet, einen europaweiten Beauftragten für den Datenschutz zu benennen.

Es werden jedoch neue Bedingungen zur Anwendung kommen, die zu der Pflicht führen: Er liegt vor, wenn die Datenverarbeitung als Kernaufgabe anzusehen ist, aber nur dann, wenn der Anwendungsbereich oder der Verwendungszweck eine umfassende, regelmässige und systematische Aufsicht erfordert. Darüber hinaus gibt es eine Bestellpflicht, wenn spezielle Datenkategorien an der Datenverarbeitung beteiligt sind, und auch hier gibt es eine Kernaktivität.

Jede Gesellschaft ist verpflichtet, unabhängig zu überprüfen, zu belegen und zu beweisen, ob die Ernennung eines Beauftragten für den Datenschutz erforderlich ist. Wenn es darum geht, die Notwendigkeit der Ernennung eines DSB zu erwägen, sollten Firmen die Auswirkungen der Eröffnungsklauseln erwägen. Das DSGVO der EU gibt den EU-Mitgliedstaaten die Befugnis, zusätzliche einzelstaatliche Vorschriften für die Ernennung eines behördlichen Beauftragten für den Datenschutz zu erlassen.

Daher ist es auch erforderlich, dass die nunmehr geltenden Bestimmungen des 38 Abs. 1 BDSG n. F. auf inländische Gesellschaften anzuwenden sind. Stellt sich heraus, dass keine Pflicht vorliegt, sollte geprüft werden, ob die Ernennung des Beauftragten für den Datenschutz auf freiwilliger Basis geschieht. Anlass für diese Entscheidung sind die mit der EU DSGVO verbundenen massiven Veränderungen im Datenschutzgesetz.

Eine Vielzahl dieser Aufgabenstellungen ergeben sich auch dann, wenn kein Beauftragter für den Datenschutz zu ernennen ist. Die Richtlinie legt auch die Rechte und Pflichten des behördlichen Datenschutzverantwortlichen fest. Darüber hinaus ist es z.B. erforderlich, die Erfüllung der EU DSGVO innerhalb des Unternehmens zu kontrollieren. Gleiches trifft auf die Überprüfung der Konzernstrategie und die Aufgabenverteilung zu.

Die zusätzlichen Überwachungsverpflichtungen erhöhen die Verantwortlichkeit und damit auch die Verantwortlichkeit des Beauftragten für den Datenschutz erheblich. Beschäftigte, die bereits den Posten des behördlichen Datenschützers bekleiden, müssen selbst entscheiden, ob sie diese Aufgabe übernehmen wollen. Das bestehende Gesetz über die Pflicht zur Unterrichtung der Nutzer der eigenen Webseite über die Erfassung und Verwendung persönlicher Angaben bleibt weiterhin gültig und wird von der EU DSGVO um weitere Verpflichtungen für den Standortbetreiber ergänzt.

Der Bedarf an datenschutzkonformen Meldungen besteht weiterhin, um die Besucher der Website ausreichend über datenschutzrelevante Tätigkeiten zu unterrichten. Neue Aspekte einer Datenschutzbestimmung sind z. B., dass die betroffenen Personen zum Zeitpunkt der Erhebung personenbezogener Datensätze über die Erhebung informiert werden müssen und der Verwendungszweck und die rechtliche Grundlage der Erhebung angegeben werden müssen.

Neben weiteren Verpflichtungen ist auch die Beschränkungs-, Widerspruchs- und Beschwerdemöglichkeit der betreffenden Person zu klären. Generell sollten die Datenschutzbestimmungen in einer präzisen, transparenten und leicht zugänglichen Fassung und Formulierung gehalten werden. Der Anspruch, vergessen zu werden, ist ein wesentliches Element der EU-Datenschutz-Grundverordnung.

Dazu gehört auch die Pflicht zur Unterstützung der betreffenden Person. Wurden z.B. die gesammelten Informationen an Dritte weitergegeben und verlangt die betreffende Person eine Streichung, so muss die Streichanleitung übermittelt werden. Der Transfer von personenbezogenen Nutzdaten an Firmen in Drittstaaten oder an international tätige Institutionen ist nur dann erlaubt, wenn die Rechtsvorschriften des betreffenden Staates ein ausreichendes Maß an Datenschutz gewährleisten.

Wenn das Niveau des Datenschutzes nicht ausreichend ist, wird der Schutz der Daten durch die grenzüberschreitende Übermittlung ausgesetzt. Mit der neuen Richtlinie wird der Vorgang durch die Festlegung konkreter Werkzeuge, die als Basis für eine gesicherte Datenübertragung dienen sollen, erleichtert. Die Zertifizierung wird immer wichtiger, um sicherzustellen, dass der Datenschutz in den Betrieben ein ausreichendes Niveau erreicht hat. Dies sollte auch für den Datenschutz gelten.

Der Schwerpunkt der Zertifizierungen liegt auf den tatsächlichen Prozessen der Datenverarbeitung, einschließlich des Datenschutzes.

Mit gutem Beispiel voran gehen könnte das offizielle Datenschutz-Siegel für IT-Produkte nach dem Landesschutzgesetz Schleswig-Holstein. Ungeachtet dessen ist es aber bereits heute klar, dass es für jedes produzierende Untenehmen notwendig ist, eine vollständige und vollständige Gesamtdokumentation (Risikobewertungen, Verfahrensbeschreibungen, etc.) zu erstellen, um die Basis für nachfolgende Datenschutz-Zertifizierungen zu legen. Irrtümer, die bei der Verarbeitung von Daten auftreten, können den Versuchspersonen großen Nachteil bringen.

Das EU-DSGVO macht es den Beteiligten leichter, Haftpflichtansprüche gegen Unternehmungen durchzusetzen. Bisher konnten Haftpflichtansprüche erhoben und mit Erfolg vollstreckt werden, solange es zu Fehlern in der Informationsverarbeitung kam oder die tatsächliche Veredelung nicht zulässig war und dem Datensubjekt auch Sachschäden entstanden sind. Gleichzeitig sind Verarbeitungsfehler nicht der einzige kritische Faktor.

Darüber hinaus wird in Frage gestellt, ob die Verarbeitung der Daten in der für die betroffene Person erwarteten Weise durchgeführt wurde. Das heißt für den Betrieb, dass er aufgrund der neuen Regelungen in Zukunft einem wesentlich erhöhten Haftpflichtrisiko unterliegt und seine Abläufe daher zunehmend kritischen Blick haben muss. Zahlreiche Firmen haben das Gefühl, dass sie beim Datenschutz im Vergleich zu Wettbewerbern, die keinen eingetragenen Firmensitz oder eine Niederlassung in der EU haben, im Nachteil sind.

Für Auslandsgesellschaften wurde die Haftungserweiterung verlängert, d.h. auch sie müssen bei einem ungenügenden Schutzniveau mit Haftungsansprüchen gegen sie gerechnet werden. Dies setzt voraus, dass persönliche Angaben gesammelt oder bearbeitet werden und die Mitteilung an die Nutzer in einer Landessprache stattfindet, die eine offizielle Landessprache eines EU-Mitgliedstaats ist. Besonders bedeutsam sind diese Informationen für diejenigen, die für solche Firmen in Drittstaaten arbeiten und dort für den Datenschutz zuständig sind.

Es ist dann von entscheidender Bedeutung, die datenschutzrechtlichen Anforderungen der EU DSGVO umfassend zu beachten, um nicht in die Haftungslücke zu geraten. Bisher wurden Datenschutzverletzungen je nach Natur mit Geldbußen von bis zu 50000 oder sogar 300000 EUR ahnden. Zentrales Problem dabei war, dass einige Unternehmen dieses Restrisiko mit Zustimmung akzeptiert und in einigen Fällen vorsätzlich gegen das Datenschutzgesetz verstößt haben.

Diese sollten abschreckender Natur sein, damit die Einrichtungen den Datenschutz in jedem Falle ernsthaft wahrnehmen. Die Geldbußen wurden daher erhöht, so dass sie je nach Typ der Datenschutzverletzung mit bis zu 10 Millionen EUR oder gar 20 Millionen EUR bestraft werden können. Wenn es sich bei dem Betrieb um eine Einrichtung des Unternehmens handele, sei auch eine Verknüpfung mit dem jährlichen Umsatz möglich.

Der EU-Begriff "Unternehmen" ermöglicht es der verantwortlichen Kontrollbehörde, die ganze Wirtschaftseinheit zu durchleuchten. Wird eine Datenschutzverletzung durch eine Tochtergesellschaft verübt, ist es ihr trotzdem erlaubt, den kompletten globalen Gruppenumsatz zu nutzen. Das Aufsichtsorgan kann eine Verfügung erlassen, um die Verletzung zu ahnden. Dies bedeutet für das Untenehmen die Verpflichtung, die betreffenden Verfahren in der Informationsverarbeitung entsprechend umzustellen.

Geschieht dies nicht, kann die Datenverarbeitung völlig unterlassen werden. Das Erheben und Verarbeiten von personenbezogenen Merkmalen ist mit einer Informationsverpflichtung verbunden. Er sorgt für Klarheit gegenüber der betreffenden Person. Die betroffene Person ist klar darüber zu informieren, welche Informationen zu welchem Zeitpunkt erfasst und bearbeitet werden. Die EU DSGVO wird von Innovationen begleitet, die über die bestehenden Informationsverpflichtungen hinausgehen.

Darüber hinaus sind die Kontaktangaben des für die Datenverarbeitung Verantwortlichen zu nennen. Im Falle eines Stellvertreters sind seine Anschrift - ebenso wie die des Aufsichtsführenden - mitzuteilen. In Zukunft sind das begründete Nutzungsinteresse an der Datenerhebung und die rechtlichen Grundlagen sowie Informationen zu Bearbeitungszwecken, die zur Datenerhebung berechtigt, anzugeben. der Datenerhebung.

Bei der Weitergabe persönlicher Angaben ist die betroffene Person über den eindeutigen Adressaten zu informieren. Sollen die Angaben an Einrichtungen in Drittstaaten oder andere Einrichtungen weitergegeben werden, so ist dies auch zu übermitteln. Achtung: Auch wenn die Angaben nur von einem solchen Dritten aufbewahrt werden, muss dies angegeben werden. Die Gesellschaft ist verpflichtet, die betroffene Person über die Sonderbedingungen zu informieren, die der Übertragung gemäß den Artikeln 44 ff. der Richtlinie zugrunde liegen.

Gleichermaßen muss in der Kommunikation angegeben werden, welche Massnahmen ein geeignetes Schutzniveau für den Adressaten sicherstellen. Um ein hinreichendes Maß in Bezug auf die Offenlegung zu erreichen, sollten den Beteiligten auch die folgenden Aspekte mitgeteilt werden: Sie muss über ihre Rechte informiert werden, insbesondere über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch sowie das Recht auf Übermittlung der personenbezogenen Nutzer.

Dem Betreffenden muss klar sein, an welche Kontrollinstanz er sich für eine Reklamation wendet. Darüber hinaus sind die vertragsgemäßen Pflichten der Datenlieferanten zu präzisieren. Bei automatisierten Beschlüssen (einschließlich Profilerstellung) muss die betroffenen Personen mit aussagekräftigen Angaben über die verwendete Verarbeitungslogik, den Umfang der Verarbeitungslogik und die beabsichtigten Wirkungen der Datenverarbeitung versorgt werden.

Soweit die Angaben von Dritten erhoben werden, gibt es weitere Informationspflichten: Dabei sind die verschiedenen Arten von persönlichen Angaben zu erwähnen. Dies gilt auch dann, wenn die betroffenen Personen mit einer Übertragung rechnen konnten. Es ist erforderlich, das legitime Recht, das zur Datenverarbeitung führt, offenzulegen. Die Herkunftsquellen der persönlichen Angaben sind aufzuführen.

Bei einer Abgabe an Dritte ist dagegen eine maximale Dauer von einem Kalendermonat vorgesehen.

Werden die Angaben für die Übermittlung an die betroffene Person verwendet, so ist die Mitteilungspflicht bis spätestens zum Zeitpunkt der ersten Kontaktnahme zu erfüllen. Vorab müssen Firmen prüfen, was ihre eigenen und die der betreffenden Person sind und ob daher von ihnen erwartet werden kann, dass sie eine Werbeaktion akzeptieren. Die individuellen Bedingungen für die jeweiligen Werbemittel gelten: Postwerbung: Die Zustimmung der betroffe.

Wenn die persönlichen Angaben aus einer dritten Person kommen, muss dies erwähnt werden. Darüber hinaus führt die EU-Datenschutz-Grundverordnung ein umfangreiches Einwandrecht ein. 21 versichert der betroffene Person, dass sie - ungeachtet der Werbeform - jeder Zeit einwenden kann. Jeder Einspruch führt dazu, dass die Verarbeitung personenbezogener Nutzerdaten verboten wird.

Durch die DSGVO verstärkt die EU-Kommission die Rechte der betroffenen Personen auf Löschungen ihrer personenbezogenen Nutzungsdaten - vor allem im Rahmen der Veröffentlichung im Intranet. Daher ist es notwendig, die eigenen Abläufe so anzupassen, dass es möglich ist, einem Löschauftrag zu folgen und damit die zu löschenden Dateien zu vernichten. Sind andere Firmen beteiligt, so ist auch die Pflicht gegeben, sie über den Kündigungsantrag zu unterrichten.

Ausschlaggebend ist die Erkennbarkeit solcher Aufzeichnungen, damit im Notfall - wenn altersbedingt besondere Vorschriften gelten - sofort gehandelt werden kann. Es bleibt bei der bereits im BDSG a. F. verankerten Pflicht, personenbezogene Nutzerdaten zu vernichten, sobald sie nicht mehr verwendet werden. Die Weiterverarbeitung ist nur zulässig, wenn eine rechtliche Grundlage vorlieg.

In Zukunft hat die betroffenen Personen das Recht, ihren "Datensatz", der alle erhobenen persönlichen Informationen beinhaltet, aufzubewahren. Daraus ergibt sich eine Übergabepflicht, d.h. Unternehmen müssen sich auf Verlangen an die Veröffentlichung oder Weitergabe der Informationen halten. Eine konkrete Norm für ein Dateiformat ist noch nicht festgelegt und wird es vielleicht auch nie geben. Hierfür gibt es einen konkreten Maßstab.

In Unternehmen ist es von entscheidender Bedeutung, die tatsächlichen Informationen abzurufen, in ein passendes Dateiformat zu konvertieren und an den Adressaten zu liefern. Nach der EU DSGVO müssen die Angaben verarbeitet werden. Dabei muss der Controller zwei grundlegende Punkte beachten. Erstens, die Identifizierung von mit der Datenverarbeitung verbundenen Gefahren, die zu Verletzungen der EU DSGVO und damit zu Verletzungen der DSGVO in der EU beitragen können.

Die Verantwortlichen müssen die Gefahren beurteilen, um zu beurteilen, ob die Einzelprozesse gerechtfertigt und damit zutreffend sind. Die neue Richtlinie schreibt vor, dass Unternehmen ihre Verfahren so auslegen müssen, dass sie als datenschutzgerecht angesehen werden. Das bedeutet, dass nur solche Informationen erfasst und weiterverarbeitet werden, die für den entsprechenden Verwendungszweck wirklich notwendig sind.

Gleiches trifft auf alle nachfolgenden Verarbeitungsprozesse zu. Außerdem ist der Zugang zu den Angaben zu beachten. Auch für die Speicherdauer ist in den datenschutzrechtlichen Vorgaben ein entsprechend definierter Zeitraum vorgesehen.

Nichtsdestotrotz birgt sie eine Reihe von Innovationen, die von den Betrieben berücksichtigt werden müssen. Er ist auch verpflichtet, Datenverluste zu meldet. Durch die gleichberechtigte Vertretung beider Parteien kann die Gemeinsame Kontrolle ein geeigneter Rechtsbehelf für den Austausch von Informationen in Gruppen sein. Hierauf aufbauend sind die Organe befugt, die betreffenden Angaben miteinander zu tauschen und zu verarbeit.

Außerdem ist im Begleitdokument anzugeben, wie die Zuständigkeiten beider Organe aufgeteilt sind, wie die Rechte der Betroffenen geschützt sind, wie die Informationspflichten wahrgenommen werden, wie der Ansprechpartner für die Personen ist und welche Funktion und Beziehung mit der Person besteht. Der wesentliche Inhalt der Übereinkunft ist auch der betreffenden Partei zu unterbreiten.

Ist einer betroffenen Person durch eine Verletzung des Datenschutzes ein Verlust entstanden, ist es für sie einfacher, ihre Forderungen durchzusetzen. Anders als beim BDSG ist der Datenverantwortliche nicht mehr allein verantwortlich - nach der EU DSGVO können sowohl er als auch der Verarbeiter dafür aufkommen. Der Kontrolleur oder Verarbeiter kann von der Verantwortlichkeit befreit werden, wenn die betreffende Einrichtung nachweist, dass sie nicht verantwortlich ist.

Die Erhebung und Bearbeitung persönlicher Angaben birgt das Verlustrisiko, d.h. Fehler können die Rechte der betroffene Person verletzen. Zu den möglichen Gründen gehören z.B. Datenausfälle oder Angreifer. Die Europäische Union DSGVO verpflichtet die Europäische Union zur Meldung von Datenschutzverstößen. Die betreffenden Personen sind unverzüglich zu informieren, die Aufsichtsstelle innerhalb von 72 Zeiträumen.

Die betroffene Person muss über die Verletzungsart und den Ansprechpartner informiert werden, an den sie sich für weitere Fragen mitteilt. Dazu sind die Kontaktangaben des Beauftragten für den Datenschutz und - falls für die internen Prozesse erforderlich - einer anderen aufzuführen. Ferner muss in der Meldung auf die möglichen Auswirkungen des Verstoßes und die geplanten Abhilfemaßnahmen oder mindestens die Begrenzung des Schadens hingewiesen werden.

Für jedes Untenehmen stellt sich die Aufgabe, mehrere Abläufe gleichzeitig zu implementieren und zu vernetzen. Nur so können Datenverstöße erkannt und die notwendigen Schritte eingeleitet werden. Der Datenschutz, vor allem im Bereich der IT-Systeme, hat für das EU-Parlament einen hohen Stellenwert. Nach der Grundverordnung zum Datenschutz sind die Betriebe zu technischen und organisatorischen Massnahmen angehalten, die vom Verarbeitungszweck und dem jeweils aktuellen Kenntnisstand abhängen und einen ausreichenden Datenschutz garantieren.

Ein wesentlicher Fortschritt ist, dass bei der Konzeption und Durchführung von Datenverarbeitungsmaßnahmen bereits eine Risikobewertung durchgeführt werden muss. Dabei wird die bisher durchgeführte Vorabprüfung nach BDSG durch die Datenschutzfolgenabschätzung ersetzt. Anhand der Bewertung wird bestimmt, welche technische und organisatorische Maßnahme zum Schutze der Datensysteme geeignet ist. Nach dem alten BDSG mussten die Betriebe Schutzmassnahmen auf der Grundlage von Gefahren ableiten, weshalb sie verschiedene Kontrollmassnahmen (z.B. Zugangskontrollen) vorschrieben.

Die EU-Datenschutzverordnung dagegen legt sicherheitstechnische Ziele fest: Werden zur Gewährleistung der Verarbeitungssicherheit in technischen Systemen verwendet, müssen diese regelmässig überprüft werden. In der ersten steht, dass zur Vermeidung von Datensätzen mit technischen Mitteln (z.B. Pseudonymisierung) zu rechnen ist. Der Datenschutz dagegen ist bestrebt, in IT-Systemen Standardeinstellungen vorzunehmen, die eine Datenverarbeitung nur dann ermöglichen, wenn sie für den entsprechenden Verwendungszweck erforderlich ist.

Dem BDSG war das Vorabkontrollverfahren bekannt, mit dem geprüft wird, ob die Verfahren zur automatischen Bearbeitung persönlicher Angaben den Datenschutzbestimmungen genügen. Das Data Protection Impact Assessment kann als erweiterter Rechtsnachfolger angesehen werden. Bei der Folgenabschätzung zum Datenschutz muss der für die Datenverarbeitung Verantwortliche die Durchführung übernehmen. Diese Bewertung ist obligatorisch, sobald absehbar ist, dass die Rechte und Pflichten der betroffenen Person durch die Bearbeitung gefährdet sind.

Als besonders schutzwürdig erweisen sich die Angaben (z.B. Biometrie oder Angaben von Minderjährigen). Dabei erfolgt eine aufwändige Datenaufbereitung (z.B. in Gestalt einer weitreichenden Datenverbindung). Darüber hinaus ist eine Folgenabschätzung zum Datenschutz obligatorisch, wenn die Bearbeitung eine umfassende Beurteilung der persönlichen Gesichtspunkte beinhaltet und zu einer rechtswirksamen Entscheidungsfindung führen kann.

Gleiches trifft auf die Datenverarbeitung zu, die zu speziellen Personenkategorien gehören oder mit strafrechtlichen Handlungen oder Urteilen verbunden sind. In der Regel ist die Datenschutzfolgenabschätzung mit einer umfassenden Dokumentierung verbunden. Die Verarbeitungen müssen detailliert beschrieben und gleichzeitig der Sinn und Zweck sowie das rechtmäßige Nutzungsinteresse der Verarbeitungen angegeben werden. Darüber hinaus ist die Erforderlichkeit und Angemessenheit der Datenverarbeitung zu belegen.

Eine weitere Komponente ist die Darstellung, ob und wenn ja, wie die Rechte und Pflichten der betreffenden Person gefährdet sind. Sind keine Schutzmassnahmen vorgesehen und ergibt sich aus der damit verbundenen Bewertung gleichzeitig ein erhöhtes Gefährdungspotential, so ist der Sachbearbeiter einer Beratungspflicht unterworfen. Sind jedoch Sicherheitsmaßnahmen vorgesehen, so existiert diese Pflicht nicht.

Die Erfassung und Bearbeitung von personenbezogenen Merkmalen ist nur dann zulässig, wenn sie unbedingt notwendig ist oder der Geschäftsprozess dies erfordert. Darüber hinaus muss sich die Erfassung und Bearbeitung auf die im Rahmen des Verfahrens erforderlichen Angaben beschränk. Prinzipiell muss die Zustimmung der betreffenden Person vorlagen. Mit der Grundverordnung zum EU-Datenschutz werden die Vorschriften für die Einholung der Zustimmung gestrafft.

Es werden also Verfahren angenommen, die eine Zustimmung zuweisen. Holt ein Unternehmer beispielsweise aufgrund seiner Vertriebskanäle die Zustimmung im Internet und per Telefon ein, muss der Widerspruch auf beiden Wegen möglich sein. Durch die vom EU-Parlament verabschiedete Basis-Datenschutzverordnung sind Firmen mit großen Innovationen konfrontiert worden. Zahlreiche Veränderungen sind aus technischer Hinsicht kompliziert und machen es daher notwendig, sich intensiv mit den juristischen Aspekten des Datengeheimnisses zu befassen.

Angesichts der Größe des Projekts dürfen die Firmen keine Zeit verlieren. Zur Gewährleistung eines angemessenen Datenschutzniveaus ist es notwendig, die für den Datenschutz relevanten Verfahren zu agieren und umzustellen. Ausschlaggebend sind diese Massnahmen auch deshalb, weil die EU DSGVO mit einem höheren Haftpflichtrahmen und höheren Bußgeldern bei Datenschutzverletzungen einhergeht. Gleichzeitig ist abzusehen, dass die Kontrollbehörden die Datenverarbeitung im Rahmen der Direktive wesentlich stärker kritisieren werden.

Sie haben noch weitere Informationen zur EU-Datenschutz-Grundverordnung? Für weitere Informationen zur DSGVO sind wir als Datenschutzbeauftragter immer ansprechbar.