Änderungen in der DSGVO

DSGVO 2018 – der Start in ein neues Zeitalter für Daten Management


Die neue DSGVO ist eine Verordnung die in erster Linie Vorschriften beinhaltet die zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bietet. Darüber hinaus soll der Schutz und der freie Verkehr solcher Daten gewährleistet werden.

Die EU hat somit die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten deutlich gestärkt.

Der EU übergreifende freie Verkehr personenbezogener Daten darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Doyster Trust primäres Anliegen ist es Unternehmen Instrumente in die Hand zu geben, um diese Grundrechte und vor allem Grundfreiheiten der Verbraucher zu bedienen und dabei gesetzeskonform vorzugehen. Unternehmen sollten dazu auch der Meldepflicht zur Anmeldung Ihrer Datenschutzbeauftragten nachkommen.

Hervorzuheben bei der DSGVO sind vor allem die Punkte und Artikel:

Grundsätze der Datenverarbeitung

Art. 5 Abs. 1 DSGVO zählt die Grundsätze auf, die für die gesamte Datenverarbeitung gelten:

  • Rechtmäßigkeit der Verarbeitung (vgl. Art. 6 DSGVO): Daten dürfen nur verarbeitet werden, wenn es eine gesetzliche Erlaubnisnorm gibt oder eine wirksame Einwilligung vorliegt.
  • Verarbeitung nach Treu und Glauben
  • Transparenz (vgl. Art. 12 ff. DSGVO): Betroffene sollen Ihr Grundrecht auch wahrnehmen können. Dafür brauchen sie insbesondere Informationen über die gespeicherten Daten.
  • Zweckbindung: Die Zwecke der Datenverarbeitung müssen grundsätzlich bereits bei der Erhebung der Daten festgelegt sein.
  • Datenminimierung: Daten müssen insbes. auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
  • Richtigkeit der Datenverarbeitung (vgl. Art. 16, 17 DSGVO)
  • Speicherbegrenzung (vgl. Art. 17 DSGVO, „Recht auf Vergessenwerden“)
  • Integrität und Vertraulichkeit (vgl. Art. 32 DSGVO): Sicherheit der Daten

Auskunftsrecht

Gem. Art. 15 DSGVO haben die Betroffenen ein umfassendes Auskunftsrecht. Es ist weitestgehend mit dem bisherigen § 34 BDSG vergleichbar. Betroffene können nun aber auch eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, verlangen.

Recht auf Datenübertragbarkeit

Gemäß Art. 20 DSGVO sind Betroffene befugt durch das neu etablierte Recht auf Datenübertragbarkeit (Datenportabilität) ihre Daten „mitzunehmen“. Das bedeutet, dass er einen Verantwortlichen anweisen kann, gewisse Daten von einer automatisierten Anwendung (etwa einem sozialen Netzwerk) auf eine andere Anwendung zu übertragen. Dieses Recht soll es Betroffenen erleichtern, von den Anbieter zu wechseln, ohne Daten zu verlieren. Das Recht besteht nur dann, wenn die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b) beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Recht auf Löschung („Recht auf Vergessenwerden“)

Gemäss Art. 17 DSGVO gibt Betroffenen per Gesetz das „Recht auf Vergessenwerden“. Daten gelöscht werden müssen, ist Das Recht auf Löschung der eigenen Daten besteht unter verschiedenen Umständen, die durch die betroffenen Personen anhand unterschiedlicher Sachverhalte getroffen werden.

Ergänzend ist gemäss Art. 16 der DSGVO ein „Recht auf Berichtigung“ gesetzlich geregelt. Danach können Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und – unter Berücksichtigung der Zwecke der Verarbeitung- unvollständige personenbezogene Daten vervollständigt werden.

Informationspflichten

Die Informationspflichten sind gemäss Art. 13 und 14 DSGVO geregelt und sehen für Verantwortliche umfangreiche Informationspflichten vor, die den Betroffenen jeweils mitgeteilt werden müssen. Hier ist vor allem auf eine präzise, transparente, verständliche und leicht zugängliche Form und eine klare und einfache Sprache zu achten (Art. 12 Abs. 1 DSGVO). Die Informationspflichten bestehen online als auch offline, etwa für Besucher vor Ort. Diese erweiterten Pflichten sollen den Datenschutz im Vergleich zu den aktuell geltenden Regelungen des BDSG stärken. Weitere Regelungen, Bestimmungen und Ausnahmen finden sich in der konkreten gesetzlichen Regelung.

Verbot automatisierter Einzelfallentscheidungen

Anhand Art. 22 DSGVO haben betroffene Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Norm regelt also wie bisher das BDSG a.F. ein grundsätzliches Verbot, Entscheidungen nur von Maschinen treffen zu lassen. Ausnahmen und konkrete Details finden sich in BDSG § 37.

Geeignete Technische und organisatorische Maßnahmen (TOM)

Die EU stellt dem Schutz von personenbezogener Daten mit der Datenschutzgrundverordnung (DSGVO) einen noch höheren Stellenwert da als es bis dahin im Bundesdatenschutzgesetz (BDSG a.F.) geregelt war. Daher stellt die DSGVO auch hohe Anforderungen an die Technik und die interne Organisation des Verantwortlichen. Die Verantwortlichen müssen nach Art. 24, 25 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) treffen. TOMs sind daher genau und nach aktuellen Vorgaben zu erstellen. Häufig wird im Zusammenhang damit auch von “privacy by design” gesprochen.

Datenschutzfolgeabschätzung (DSFA)

Die in Artikel 35 der DSGVO normierten Datenschutzfolgeabschätzung (DSFA) wird nichts grundlegend Neues geregelt. Die Vorschrift entspricht der Pflicht zur Vorabkontrolle gemäß § 4d Abs. 5 BDSG a.F.

Die Verantwortlichen müssen hier einschätzen, ob die jeweilige Verarbeitung voraussichtlich hohe Risiken für die Rechte oder Freiheiten des Betroffenen ausweist. Sie erfolgt in bis zu drei Stufen und ist schriftlich zu dokumentieren.

Melde- und Informationspflichten bei Datenpannen

Für Melde- und Informationspflichten bei Datenpannen (Incidents) die bisher in § 42a BDSG geregelt waren, gelten zukünftig die Vorgaben des Art. 33 DSGVO. Danach müssen grundsätzlich alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich.

Verantwortliche müssen solche Vorfälle (Incidents) der Aufsichtsbehörde unverzüglich und falls möglich binnen 72 Stunden nach Bekanntwerden der Verletzung melden. Folgend Artikel 33 Abs. 3 DSGVO zumindest folgende Informationen übermitteln:

  • Konkrete Beschreibung des Vorfalls (Incidents), Angabe der Kategorie der jeweils betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
  • Vollstündiger Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
  • Genaue Beschreibung der Folgen der Datenschutzverletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Verzeichnis der Verarbeitungstätigkeiten

In Artikel 30 der DSGVO ist vorgeschrieben, dass der Datenschutzverantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen muss. Vergleichbar mit dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2 in Verbindung mit § 4e BDSG handelt es sich dabei um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unter bestimmten Voraussetzungen können Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein.

Gemeinsame Datenverarbeitung

Eine Neuerung der gesetzlichen Regelung ist gemäss Artikel 26 der DSGVO es zukünftig auch erlaubt, dass mehrere verantwortliche Stellen die erlaubte Datenverarbeitung gemeinsam durchführen. Dazu erforderlich ist eine transparente Vereinbarung, um die jeweiligen Zwecke und Verantwortlichkeiten sowie die Handhabung hinsichtlich der Betroffenenrechte festzulegen. Betroffene können ihre Rechte aber weiterhin gegenüber jedem einzelnen Verantwortlichen geltend machen.

Auftragsverarbeitung

Die Autragsverarbeitung, bis dahin bekannt als die Auftragsdatenverarbeitung, ist in der DSGVO nach Artikel 28 und 29 DSGVO auch weiterhin zulässig. In erster Linie versteht man darunter die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter anhand der Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Darunter fallen beispielsweise Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung etwa von Rechnungen beauftragen.

Datenschutzbeauftragter (DSB)

Der Datenschutzbeauftrage erhält in der neuen DSGVO nach Artikel 37 eine besondere Regelung. Unternehmen müssen ab jetzt immer einen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit bzw. die ihres Auftragsverarbeiters:

  • aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
  • die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft

§ 38 BDSG n.F. erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter:

  • in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
  • Verarbeitungen vornimmt, die der Datenschutzfolgeabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Der Einfach Weg
zum neuen Datenschutz