Datenschutz-Grundverordnung: Die Zeit läuft - wo Unternehmen agieren müssen
Noch nie war der Datenschutz so herausfordernd wie heute. Insbesondere die fortschreitende internationale Ausrichtung des Geschäftsalltags erfordert eine intensive Auseinandersetzung mit den datenschutzrechtlichen Bestimmungen der einzelnen Staaten. Dazu kommt der technologische Vorsprung, der viele Fallstricke mit sich führt, vor allem im Hinblick auf den Datenverkehr in der Online-Umgebung. Deshalb hat die EU-Kommission eine Vereinheitlichung des Bundesdatenschutzes vorgenommen und mit der DSGVO-Grundverordnung (EU-DSGVO) einen zentralen Rahmen gesetzt.
Sie ist als Direktive die Basis der Reform des Datenschutzes zur Neuordnung der Datenschutzvorschriften in den Mitgliedsstaaten. Bisher mussten sich die Unternehmen in Deutschland an das BDSG halten. In Zukunft müssen sie jedoch der Grundverordnung zum Datenschutz Priorität geben. Nach der Verabschiedung der neuen Regelung durch das EU-Parlament ist ein sofortiges Eingreifen dringend erforderlich. Unternehmen werden mit vielen Innovationen konfrontiert, viele Abläufe müssen überarbeitet und adaptiert werden.
Die Bandbreite der mit der EU DSGVO einhergehenden datenschutzrechtlichen Veränderungen ist groß. Die wichtigsten datenschutzrechtlichen Themen der Synopsis haben wir für Sie zusammengestellt. Welche Innovationen und Veränderungen zu beachten sind, damit Unternehmen in den kommenden Jahren ein entsprechendes Schutzniveau erzielen, erfahren Sie auf dieser Website detailliert. Beispielsweise sind nach wie vor nach wie vor die deutschen Unternehmen verpflichtet, einen Beauftragten für den Datenschutz zu benennen, wenn bestimmte Anforderungen erfüllt sind.
Das Prinzip der Zweckbestimmung findet Anwendung auf die Erfassung und Bearbeitung von personenbezogenen Nutzdaten. Die Erfassung darf nur zu einem vorab festgelegten Verwendungszweck erfolgen. Unternehmen wollen die Informationen oft für andere Verwendungszwecke verwenden. Die Unternehmen werden nach dem in Kraft getretenen Grundgesetz zum Datenschutz erstmals verpflichtet, einen europaweiten Beauftragten für den Datenschutz zu benennen.
Es werden jedoch neue Bedingungen zur Anwendung kommen, die zu der Pflicht nach sich ziehen: Er liegt vor, wenn die Datenverarbeitung als Kernaufgabe anzusehen ist, aber nur, wenn der Anwendungsbereich oder der Verwendungszweck eine umfassende, regelmässige und systematische Beaufsichtigung erforderlich macht. Darüber hinaus gibt es eine Ordnungspflicht, wenn spezielle Datenkategorien in die Datenverarbeitung einbezogen werden und auch hier gibt es eine Kernaufgabe.
Jede Unternehmung ist verpflichtet, selbständig zu überprüfen, zu belegen und zu beweisen, ob die Ernennung eines Beauftragten für den Datenschutz erforderlich ist. Wenn Unternehmen die Notwendigkeit der Ernennung eines DSB in Betracht ziehen, sollten sie die Auswirkungen der Eröffnungsklauseln in Betracht ziehen. Das DSGVO der EU gibt den EU-Mitgliedstaaten die Befugnis, zusätzliche einzelstaatliche Vorschriften für die Ernennung eines behördlichen Beauftragten für den Datenschutz zu erlassen.
Daher ist auch für inländische Unternehmen die jetzt geltende Bestellbestimmung des 38 Abs. 1 BDSG n. F. anzuwenden. Ergibt sich, dass es keine Pflicht gibt, sollte geprüft werden, ob die Ernennung des Beauftragten für den Datenschutz auf freiwilliger Basis geschieht. Anlass für diese Weiterempfehlung sind die mit der EU DSGVO einhergehenden massiven datenschutzrechtlichen Veränderungen.
Eine Vielzahl dieser Aufgabenstellungen stellt sich auch dann, wenn kein Beauftragter für den Datenschutz zu ernennen ist. Außerdem regelt die Richtlinie die Rechte und Pflichte des behördlichen Datenschutzverantwortlichen. Darüber hinaus ist es z. B. Aufgabe, die Erfüllung der DSGVO der EU innerhalb des Unternehmens zu kontrollieren. Gleiches trifft auf die Überprüfung der Konzernstrategie und die Verantwortungszuweisung zu.
Die zusätzlichen Überwachungsverpflichtungen erhöhen die Verantwortlichkeit und damit auch die Verantwortlichkeit des Beauftragten für den Datenschutz erheblich. Beschäftigte, die bereits den Posten des behördlichen Datenschützers bekleiden, müssen selbst entscheiden, ob sie diese Aufgabe wahrnehmen wollen. Das bestehende Recht zur Informationspflicht der eigenen Website-Besucher über die Erfassung und Datenverarbeitung von personenbezogenen Merkmalen bleibt weiterhin gültig und wird durch die EU DSGVO um weitere Verpflichtungen für den Website-Betreiber ergänzt.
Es besteht nach wie vor ein Bedarf an datenschutzkonformen Deklarationen, um den Website-Besuchern ausreichende Informationen über Datenschutz relevante Tätigkeiten zur Verfügung stellen zu können. Neue Aspekte einer Datenschutzbestimmung sind z. B., dass die betroffenen Personen zum Erhebungszeitpunkt über die Erhebung informiert sein müssen und der Verwendungszweck und die rechtliche Grundlage der Erhebung angegeben werden müssen.
Neben weiteren Verpflichtungen ist auch die Beschränkungs-, Widerspruchs- und Beschwerdemöglichkeit des Betreffenden zu klären. Generell sollten die Datenschutzbestimmungen in einer präzisen, transparenten und leicht zugänglichen Fassung und Formulierung aufbewahrt werden. Ein wesentliches Element der EU-Datenschutz-Grundverordnung ist das Recht, vergessen zu werden.
Dazu gehört auch die Pflicht zur Unterstützung der betreffenden Person. Wurden z.B. an Dritte weitergegeben und fordert die betreffende Person die Vernichtung, so ist die Löschungsanweisung an die zuständige Stelle zu übermitteln. Das Übermitteln von personenbezogenen Merkmalen an Unternehmen in Drittstaaten oder an international tätige Unternehmen ist nur dann erlaubt, wenn die Rechtsvorschriften des betreffenden Staates ein ausreichendes Maß an Datenschutz gewährleisten.
Wenn das Niveau des Datenschutzes nicht ausreichend ist, wird die grenzüberschreitende Datenübertragung die Schutzvorkehrungen aussetzen. Mit der neuen Richtlinie wird der Vorgang durch die Festlegung konkreter Werkzeuge, die als Basis für eine gesicherte Datenübertragung verwendet werden sollen, erleichtert. Die Zertifizierung wird immer wichtiger, um zu gewährleisten, dass die Unternehmen ein ausreichendes Maß an Datenschutz aufgebaut haben. Dies sollte auch im Bereich des Datenschutzes der Fall sein.
Der Schwerpunkt der Zertifizierungen liegt auf den tatsächlichen Prozessen der Datenverarbeitung, einschließlich des Datenschutzes. Besteht ein Unternehmen den Zertifizierungsprozess mit Erfolg, kann es sich mit einem Datenschutzgütesiegel ausstatten. Mit dem Gütesiegel wird der Nachweis erbracht, dass alle für den Datenschutz relevanten Verfahren den Vorgaben der EU DSGVO und - je nach Zertifikation - den zusätzlichen landesspezifischen Vorgaben genügen.
Mit gutem Beispiel voran gehen könnte das offizielle Datenschutz-Siegel für IT-Produkte nach dem Schleswig-Holsteinischen Staatsdatenschutzgesetz. Ungeachtet dessen ist es aber bereits heute deutlich, dass es für Unternehmen von Bedeutung ist, eine vollständige und vollständige Gesamtdokumentation (Gefährdungsbeurteilungen, Verfahrensbeschreibungen, etc.) zu erstellen, um die Basis für nachfolgende Datenschutz-Zertifizierungen zu legen. Irrtümer, die bei der Verarbeitung von Daten auftreten, können den Beteiligten großen Nachteil bringen.
Das EU-DSGVO macht es den Betreffenden leichter, Haftpflichtansprüche gegen Unternehmen zu erheben. Bisher konnten Haftpflichtschäden so lange erhoben und mit Erfolg vollstreckt werden, wie es zu Fehlern in der Informationsverarbeitung gekommen ist oder die tatsächliche Informationsverarbeitung nicht zulässig war und auch der Betroffene einen Sachschaden erlitten hat. Gleichzeitig sind Verarbeitungsfehler nicht der einzige kritische Faktor.
Darüber hinaus wird angezweifelt, ob die Verarbeitung der Daten in der für die betroffene Person erwarteten Weise durchgeführt worden ist. Daraus ergibt sich für die Unternehmen, dass sie durch die neuen Regelungen in Zukunft einem wesentlich erhöhten Haftpflichtrisiko unterliegen und ihre Abläufe daher zunehmend kritischen Blickwinkel unterworfen sein werden. Zahlreiche Unternehmen haben das Gefühl, beim Datenschutz im Vergleich zu Konkurrenten ohne Firmensitz oder Zweigniederlassung innerhalb der EU im Nachteil zu sein.
Für Auslandsgesellschaften wurde die Haftungsverlängerung ausgeweitet, d.h. sie müssen auch bei einem ungenügenden Datenschutz mit Haftpflichtansprüchen gegen sie gerechnet werden. Dies setzt voraus, dass persönliche Angaben gesammelt oder bearbeitet werden und die Mitteilung an die Nutzer in einer Landessprache stattfindet, die eine offizielle Landessprache eines EU-Mitgliedstaates ist. Besonders bedeutsam sind diese Informationen für diejenigen, die für solche Unternehmen in Drittstaaten arbeiten und dort für den Datenschutz zuständig sind.
Es ist dann von entscheidender Bedeutung, die datenschutzrechtlichen Anforderungen der EU DSGVO voll und ganz zu beachten, um nicht in die Haftungslücke zu geraten. Bisher wurden Datenschutzverletzungen je nach Natur mit Geldbußen von bis zu 50000 oder sogar 300000 EUR bestraft. Zentrales Problem dabei war, dass einige Unternehmen dieses Restrisiko mit Zustimmung akzeptiert und in einigen Fällen vorsätzlich gegen das Datenschutzgesetz verstößt haben.
Diese sollten abschreckender Natur sein, damit die Unternehmen den Datenschutz in jedem Falle ernsthaft wahrnehmen. Die Geldbußen wurden daher erhöht, so dass sie je nach Typ der Datenschutzverletzung mit bis zu 10 Millionen EUR oder gar 20 Millionen EUR bestraft werden können. Bei einem Unternehmen als Unternehmen ist eine Verknüpfung mit dem jährlichen Umsatz möglich.
Gemäß der EU-Definition von "Unternehmen" kann die verantwortliche Kontrollbehörde die ganze Wirtschaftseinheit in Betracht ziehen. Wird eine Datenschutzverletzung durch eine Tochtergesellschaft verübt, so ist es ihr trotzdem erlaubt, den kompletten globalen Gruppenumsatz in Anspruch zu nehmen. In diesem Fall kann die verantwortliche Überwachungsbehörde eine Verfügung zur Behebung des Verstoßes erlassen. Dies bedeutet für das Unternehmen die Verpflichtung, die betreffenden Verfahren in der Informationsverarbeitung an die Gegebenheiten des jeweiligen Landes angepasst werden zu lassen.
Geschieht dies nicht, kann die Datenverarbeitung völlig unzulässig sein. Das Sammeln und Verarbeiten von personenbezogenen Merkmalen ist mit einer Informationsverpflichtung verbunden.
Darüber hinaus sind die Kontaktangaben der für die Datenverarbeitung verantwortlichen Personen zu nennen. Im Falle eines Stellvertreters sind seine Kontaktangaben - ebenso wie die des Betreuers - mitzuteilen. In Zukunft ist auf das begründete Nutzungsinteresse und die rechtlichen Grundlagen sowie auf Informationen zu Bearbeitungszwecken, die zur Datenerhebung berechtig sind, hinzuweisen.
Die betroffene Person muss im Fall der Weitergabe persönlicher Angaben über den eindeutigen Adressaten informiert werden. Sollen die Angaben an Unternehmen in Drittstaaten oder an andere Unternehmen oder andere international tätige Unternehmen weitergegeben werden, so ist dies auch zu übermitteln. Achtung: Auch wenn die Angaben nur von einem solchen Dritten aufbewahrt werden, ist dies zu vermerken. Die Gesellschaft ist verpflichtet, die betroffene Person über die Sonderbedingungen, die der Übertragung gemäß den Artikeln 44 f. der Richtlinie zugrunde liegen, zu unterrichten.
Gleichermaßen muss in der Kommunikation dargelegt werden, durch welche Massnahmen ein geeignetes Schutzniveau für den Adressaten sichergestellt werden soll. Um ein hinreichendes Mass an Offenheit zu erreichen, sollten den Beteiligten auch die nachstehenden Aspekte mitgeteilt werden: In diesem Zusammenhang ist die betroffene Person über ihre Rechte, insbesondere über das Recht auf Auskunftserteilung, Berichtigung, Löschung, Beschränkung und Widerspruch, sowie über das Recht auf Übermittlung der an sie gerichteten personenbezogenen Informationen zu unterrichten.
Dem Betreffenden muss klar sein, an welche Kontrollinstanz er sich im Falle einer Beanstandung richten kann. Darüber hinaus sind die Vertragsverpflichtungen gegenüber der betreffenden Stelle, die die Angaben zu machen hat, festzulegen. Bei automatisierten Beschlüssen (einschließlich der Erstellung von Profilen) muss die betroffenen Personen über die angewandte Verarbeitungslogik, den Anwendungsbereich der Verarbeitungslogik und die beabsichtigten Wirkungen der Datenverarbeitung aussagekräftig informiert werden.
Soweit die erhobenen Informationen von Dritten erhoben werden, ergeben sich darüber hinaus weitere Auskunftspflichten: Zu erwähnen sind die verschiedenen Arten personenbezogener Nutzerdaten. Dies gilt auch, wenn die betroffenen Personen vernünftigerweise mit einer Übertragung rechnen konnten. Es ist erforderlich, das legitime Recht, das die Datenverarbeitung zur Folge hat, offen zu legen. Die Herkunftsquellen der persönlichen Angaben sind zu benennen.
Ist dies im Einzelnen nicht möglich, z.B. weil es mehrere Bezugsquellen gibt, wird eine generelle Information empfohlen. Auf EU-Ebene oder in den Mitgliedsstaaten wurden Gesetze erlassen, die den Erhalt oder die Offenlegung von Informationen klar und deutlich regulieren. Auf der Grundlage des EU-Rechts oder des Rechts der einzelnen Mitgliedsstaaten gilt eine Geheimhaltungsverpflichtung. Bei einer Direkterhebung entsteht die Auskunftspflicht sofort, d.h. zur gleichen Zeit.
Besteht dagegen eine Drittabgabe, so ist eine maximale Dauer von einem Kalendermonat anwendbar. Soweit die Angaben für die Übermittlung an die betroffene Person verwendet werden, muss die Mitteilungspflicht längstens ab dem Zeitpunkt der ersten Kontaktnahme erfüllt sein. Die Unternehmen müssen im Voraus beurteilen, welche eigenen und die der betreffenden Person betreffen und ob sie daher eine Werbeaktion akzeptieren können.
Maßgeblich sind die individuellen Bedingungen für die jeweiligen Werbekanäle: Postwerbung: Hierfür ist die Zustimmung des Betreffenden einzuholen. Sofern die persönlichen Angaben aus einer Drittpartei kommen, ist dies zu vermerken. Darüber hinaus führt die EU-Datenschutz-Grundverordnung ein umfangreiches Einspruchsrecht ein. 21 versichert der betroffene Person, dass sie jeder Zeit - gleichgültig in welcher Werbeform - Widerspruch einlegen kann.
Jeder Einspruch hat zur Konsequenz, dass die Verarbeitung personenbezogener Nutzerdaten untersagt wird. Durch die DSGVO verstärkt die EU-Kommission die Rechte der Beteiligten auf Löschungen ihrer sensiblen Informationen - vor allem der im Netz publizierten Informationen. Daher ist es notwendig, die eigenen Abläufe so aufeinander abzustimmen, dass es möglich ist, einem Löschungsantrag zu folgen und damit die zu löschenden Dateien zu vernichten.
Sind andere Unternehmen beteiligt, so ist auch eine Informationspflicht über den Kündigungsantrag gegeben. Zugleich wird der stärkere Kinder- und Jugendschutz der Europäischen Union deutlich spürbar. Ausschlaggebend ist die Erkennbarkeit solcher Daten, damit im Notfall - bei altersbedingten Sonderregelungen - sofort gehandelt werden kann.
Nach wie vor ist die bereits im BDSG festgelegte Pflicht zur Löschung personenbezogener Nutzerdaten, sobald diese nicht mehr verwendet werden, gültig. Die Weiterverarbeitung ist nur dann zulässig, wenn es eine rechtliche Grundlage gibt, die das jeweilige Verfahren begründet. Die betroffenen Personen haben in Zukunft das Recht, ihren "Datensatz", der alle gesammelten persönlichen Informationen beinhaltet, aufzubewahren.
Daraus ergibt sich eine Übergabepflicht, d.h. die Unternehmen müssen sich auf Verlangen an die Veröffentlichung oder Weitergabe der gesammelten Informationen halten. Eine konkrete Norm für ein Dateiformat ist noch nicht festgelegt und wird es vielleicht auch nie gäbe sein. In Unternehmen ist es von entscheidender Bedeutung, die Ist-Daten abzurufen, in ein passendes Dateiformat zu konvertieren und dem Adressaten zur Verfügung stellen zu können.
In Anlehnung an die DSGVO der EU müssen die Angaben entsprechend verarbeitet werden. Dabei muss der Kontrolleur zwei grundlegende Gesichtspunkte beachten. Erstens, die Identifizierung von Gefahren im Rahmen der Datenverarbeitung, die zu Verletzungen der DSGVO der Europäischen Union nach sich ziehen können. Die Verantwortlichen müssen die Gefahren einschätzen, um beurteilen zu können, ob die Einzelprozesse gerechtfertigt und damit zutreffend sind.
Die neue Richtlinie schreibt den Unternehmen vor, ihre Verfahren so auszugestalten, dass sie als Datenschutzfreundlichkeit eingestuft werden. Das bedeutet, dass nur solche Informationen erfasst und weiterverarbeitet werden, die für den entsprechenden Verwendungszweck wirklich notwendig sind. Es ist für die Unternehmen von Bedeutung, zu wissen, dass das von der Kommision festgelegte Ziel nicht nur für die Befragung selbst gilt.
Gleiches trifft auf alle nachfolgenden Verarbeitungsprozesse zu. Außerdem ist der Zugang zu den Angaben zu beachten. Darüber hinaus sorgen die Datenschutzgerechten Standardeinstellungen für einen entsprechend definierten Zeitraum für die Aufbewahrungsdauer. Nichtsdestotrotz birgt sie eine Reihe von Innovationen, die von den Unternehmen berücksichtigt werden müssen. Außerdem ist er zur Meldung von Datenverlusten verpflichtet.
Angesichts der gleichen Rechte beider Parteien kann die Gemeinsame Kontrolle ein angemessenes Mittel zur Begründung des Datenaustausches in Gruppen sein. Hierauf aufbauend sind die Gremien befugt, die betreffenden Angaben miteinander zu tauschen und weiterzuverarbeiten. Außerdem muss in dem Schriftstück festgelegt werden, wie die Zuständigkeiten beider Organe aufgeteilt sind, wie die Rechte der betroffen Person geschützt sind, wie die Informationspflichten wahrgenommen werden, wie der Ansprechpartner für die betreffenden Personen aussieht und welche Funktion und Beziehung mit der betroffen Person besteht.
Der wesentliche Inhalt der Übereinkunft ist auch dem Betreffenden offen zu legen. Wenn ein Betroffener durch eine Datenschutzverletzung einen Verlust erleiden musste, ist es für ihn einfacher, seine Forderungen einzufordern. Anders als im BDSG ist der für die Datenverarbeitung zuständige Sachbearbeiter nicht mehr allein verantwortlich - nach der EU-DSGVO können sowohl er als auch der Sachbearbeiter dafür verantwortlich gemacht werden.
Der Kontrolleur oder der Verarbeiter kann von der Verantwortlichkeit entbunden werden, wenn die betroffene Einrichtung beweisen kann, dass sie nicht dafür verantwortlich ist. Die Erhebung und Bearbeitung persönlicher Angaben birgt das Potenzial einer Datenverletzung, d.h. Fehler können die Rechte der betreffenden Person verletzen.
Zu den möglichen Gründen gehören zum Beispiel Datenausfälle oder Hackerangriffe. Zusammen mit der EU-DSGVO erlegt die Kommision der Meldepflicht bei Datenschutzverstößen eine Meldepflicht auf. Die betreffenden Personen sind unverzüglich zu benachrichtigen, die Aufsichtsstelle spätestens innerhalb von 72 Arbeitsstunden. Die betroffene Person ist über die Verletzungsart und den Ansprechpartner für weitere Auskünfte zu unterrichten.
Dazu müssen die Kontaktangaben des Beauftragten für den Datenschutz und - falls für die internen Verfahren erforderlich - einer anderen Personen angegeben werden. Ferner ist in der Meldung auf die möglichen Auswirkungen des Verstoßes und die geplanten Abhilfemaßnahmen oder mindestens die Begrenzung des Schadens hinzuweisen. Für Unternehmen stellt sich die Aufgabe, mehrere Verfahren gleichzeitig zu implementieren und zu vernetzen.
Nur so können Verstöße gegen die Datenschutzbestimmungen aufgedeckt und die notwendigen Schritte unternommen werden. Vor allem im Bereich der IT-Systeme legt das EU-Parlament großen Wert auf die Sicherheit der Datensätze. Nach der Grundverordnung zum Datenschutz sind Unternehmen sowohl zu technischen als auch zu organisatorischen Vorkehrungen angehalten, die vom Verarbeitungszweck und dem jeweils aktuellen Kenntnisstand abhängen und einen ausreichenden Datenschutz garantieren.
Ein wesentlicher Fortschritt ist, dass es bereits bei der Konzeption und Durchführung von Datenverarbeitungsmaßnahmen notwendig ist, eine Gefährdungsbeurteilung durchzuführen. An die Stelle der bisherigen Vorabprüfung nach BDSG tritt die Datenschutzfolgenabschätzung. Anhand der Bewertung wird bestimmt, welche technische und organisatorische Maßnahme für den Datenschutz in den Datensystemen geeignet ist. Nach dem alten BDSG mussten Unternehmen Schutzmassnahmen auf der Grundlage von Gefahren ableiten, weshalb sie verschiedene Kontrollmassnahmen (z.B. Zutrittskontrollen) vorschrieben.
Die EU-Datenschutzverordnung dagegen legt sicherheitstechnische Zielvorgaben fest: Werden zur Gewährleistung der Verarbeitungssicherheit verfahrenstechnische Anlagen verwendet, so müssen diese regelmässig überprüft werden. In der ersten wird darauf hingewiesen, dass zur Vermeidung von Datensätzen technisch (z.B. durch Pseudonymisierung) zu verfahren ist. Der Datenschutz dagegen ist bestrebt, in IT-Systemen Standardeinstellungen vorzusehen, die eine Datenverarbeitung nur für den jeweils erforderlichen Verwendungszweck ermöglichen.
Mit dem Vorabkontrollverfahren, mit dem geprüft werden soll, ob die Verfahren zur automatischen Bearbeitung von personenbezogenen Merkmalen den Datenschutzbestimmungen genügen, war das BDSG bestens vertraut. Das Data Protection Impact Assessment kann als verbesserter Rechtsnachfolger angesehen werden. Diese Folgenabschätzung für den Datenschutz muss vom für die Auftragsvergabe zuständigen für die Auftragsvergabe zuständigen Sachbearbeiter durchgeführt werden. Diese Bewertung wird als verbindlich erachtet, sobald es absehbar ist, dass die Rechte und Pflichten der betroffene Person durch die Bearbeitung gefährdet werden.
Als besonders schutzwürdig erachtet werden die Angaben (z.B. Biometrie oder Angaben von Minderjährigen). Dabei erfolgt eine aufwändige Datenaufbereitung (z.B. in Gestalt einer weitreichenden Datenverknüpfung). Darüber hinaus ist eine Folgenabschätzung des Datenschutzes obligatorisch, wenn die Bearbeitung eine umfassende Beurteilung personenbezogener Gesichtspunkte beinhaltet und zu einer rechtswirksamen Entscheidungsfindung führen kann.
Gleiches trifft auf die Datenverarbeitung zu, die zu speziellen Arten von personenbezogenen Merkmalen gehören oder mit strafrechtlichen Vergehen oder strafrechtlichen Handlungen in Verbindung gebracht werden. Diese Datenschutzfolgenabschätzung ist in der Regel mit einer umfassenden Dokumentierung verbunden. Die Verarbeitungen sind detailliert zu erläutern und gleichzeitig sind der Verwendungszweck und das rechtmäßige Nutzungsinteresse der Verarbeitungen anzugeben. Darüber hinaus sind die Erforderlichkeit und die Proportionalität der Datenverarbeitung zu belegen.
Eine weitere Komponente ist die Darstellung, ob und wenn ja, wie die Rechte und Pflichten des Betreffenden gefährdet sind. Darüber hinaus müssen die vorgesehenen Massnahmen beschrieben werden, die letztendlich einen adäquaten Schutzeffekt erwarten lassen. Sind keine Schutzmassnahmen vorgesehen und ergibt sich aus der damit verbundenen Bewertung gleichzeitig ein erhöhtes Gefährdungspotential, so ist der Sachbearbeiter einer Beratungspflicht unterworfen.
Prinzipiell muss die Zustimmung des Betreffenden zur Verfügung stehen.
Das EU-Datenschutzgesetz strafft die Vorschriften für die Einholung der Zustimmung. Es werden also Verfahren angenommen, die eine Zustimmung belegen können. Holt beispielsweise ein Unternehmen aufgrund seiner Vertriebskanäle die Zustimmung im Internet und per Telefon ein, muss der Widerspruch auf beiden Wegen möglich sein. In der vom EU-Parlament verabschiedeten Grundverordnung zum Datenschutz sind Unternehmen mit großen Innovationen konfrontiert worden.
Zahlreiche Veränderungen sind aus technischer Hinsicht kompliziert und erfordern daher eine vertiefte Auseinandersetzung mit den juristischen Aspekten des Schutzes personenbezogener Daten. Angesichts der Projektgröße dürfen Unternehmen keine Zeit vergeuden. Zur Sicherstellung eines adäquaten Datenschutzniveaus ist es notwendig, die für den Datenschutz relevanten Verfahren entsprechend zu agieren und zu adaptieren.
Ausschlaggebend sind diese Massnahmen auch deshalb, weil die DSGVO der EU mit einem höheren Haftpflichtrahmen und höheren Bußgeldern bei Datenschutzverletzungen einhergeht. Je nach Grösse und Gesellschaftsform des Unternehmen können die Bussgelder auch an den jährlichen Umsatz geknüpft sein. Gleichzeitig ist es vorauszusehen, dass die Kontrollbehörden die Datenverarbeitung im Rahmen der Direktive wesentlich stärker kritisch beurteilen werden. Hast du eine Frage zur EU-Datenschutz-Grundverordnung?
Für weitere Informationen zur DSGVO sind wir als Datenschutzbeauftragter jederzeit offen.