Die neue Datenschutzgrundverordnung

Transkript

1 Die neue Datenschutzgrundverordnung Die neue Datenschutzgrundverordnung (DSGVO) enthält eine umfassende und einheitliche Neuregelung des Datenschutzes in der Europäischen Union. Sie tritt in Deutschland am 25. Mai 2018 in Kraft. Damit auch Sie für Ihr Unternehmen die Geschäftsprozesse an die Neuerungen der Verordnungen anpassen können, möchten wir Sie auf die wesentlichen Änderungen hinweisen. In der DSGVO bleiben die wesentlichen Elemente des BDSG zwar erhalten, sie enthält jedoch im Vergleich zur bisherigen Rechtslage zahlreiche Änderungen und Verschärfungen für Unternehmen, die im Rahmen eines ersten Überblicks angesichts des Umfangs hier nur verkürzt und beschränkt auf ausgewählte Themenbereiche wiedergegeben werden können. 1. Deutliche Haftungsverschärfung Art. 83 DSGVO enthält im Vergleich zum bisherigen Recht eine deutliche Haftungsverschärfung für Unternehmen bei Verstößen gegen das neue Datenschutzrecht. Verantwortliche, die gegen die DSGVO verstoßen, müssen mit Bußgeldern von bis zu 4 % des globalen Umsatzes oder bis zu 20 Mio. rechnen (bislang sieht 43 BDSG Bußgelder von max ,00 vor). Ferner müssen Verantwortliche bzw. Auftragsverarbeiter den materiellen und immateriellen Schaden ersetzen (Art. 82 Abs. 2 DSGVO). 2. Umfangreiche Informationspflichten Ein Unternehmen kann grundsätzlich weiterhin Daten verarbeiten - erheben, speichern und bearbeiten. Die betroffene Person muss zuvor eingewilligt haben oder die Verarbeitung muss für die Erfüllung eines Vertrages erforderlich sein oder einer Erfüllung einer rechtlichen Verpflichtung dienen (vgl. Art. 6 Abs. 1 DSGVO). Allerdings muss der Verantwortliche (Unternehmen) die von der Verarbeitung betroffene Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache unterrichten, vgl. Art. 12 Abs. 1 DSGVO. Insbesondere die weiteren Unterrichtungspflichten nach Art. 13 und Art. 14 DSGVO gehen über die Vorgaben der bislang geltenden 4 Abs. 3 und 33 BDSG hinaus, so dass der Verantwortliche den Betroffenen bei der Datenverarbeitung folgendes mitteilen muss: Kontaktdaten des Verantwortlichen und seines Datenschutzbeauftragten Zwecke der Datenverarbeitung, ggf. berechtigte Interessen des Verantwortlichen an der Datenverarbeitung Empfänger oder Kategorien von Empfängern personenbezogener Daten Übermittlung von Daten in ein Drittland Speicherdauer 1

2 Bestehen von Auskunftsrechten und Rechte auf Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit und Beschwerderecht bei Aufsichtsbehörden 3. Betroffenenrechte Durch die DSGVO sollen die Betroffenenrechte gestärkt werden. Die Betroffenen haben nach der DSGVO bei der Datenverarbeitung folgende Rechte: umfassendes Auskunftsrecht nach Art. 15 DSGVO Berichtigungsanspruch nach Art. 16 DSGVO Recht auf Löschung nach Art. 17 DSGVO; sog. Recht auf Vergessenwerden Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO Recht auf Datenübertragbarkeit nach Art. 20 DSGVO Widerspruchsrecht nach Art. 21 DSGVO 4. Datensicherheit Eine weitere wesentliche Änderung ist die Sanktionierung unzureichender Datensicherheit des Unternehmens durch erhebliche Bußgelder. Nach Art. 32 DSGVO muss jedes Unternehmen für ein ausreichendes Datenschutzniveau sorgen, wobei sich die Datensicherheit in erster Linie nach den individuellen Risiken im Unternehmen richten muss. Der Verantwortliche und der Auftragsverarbeiter haben geeignete, technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 5. Datenschutzbeauftragter Nach Art. 37 DSGVO müssen Unternehmen immer dann einen betrieblichen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern oder die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betroffen sind. Art. 9 DSGVO: Verarbeitung personenbezogener Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten etc.) 2

3 Art. 10 DSGVO: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Kerntätigkeit besteht aus Verarbeitungsvorgängen: bspw. Verarbeitung von Gesundheitsdaten in einem Krankenhaus Ausnahme: Für kleine Betriebe macht die Verordnung eine Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen KEINEN Datenschutzbeauftragten. Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Achtung: Es sind auch jene Mitarbeiter zu berücksichtigen, die nur ab und an Daten verarbeiten, etwa Zugriff auf die Kundendatenbank haben. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe. Die Ausnahme gilt jedoch nicht in Fällen, in denen das Unternehmen Daten verarbeitet, für die eine Datenschutz- Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten. Die qualitativen Anforderungen an einen Datenschutzbeauftragen entsprechen denen des BDSG. 6. Aufgaben des Datenschutzbeauftragten Der Datenschutzbeauftragte hat gem. Art. 39 DSGVO die Aufgabe, auf die Einhaltung der Datenschutzvorgaben im Unternehmen zu achten und die verantwortliche Geschäftsleitung in Sachen Datenschutz zu beraten. Daneben sensibilisiert und schult er andere Mitarbeiter. Der Datenschutzbeauftragte ist die Kommunikationsschnittstelle zur Datenschutzbehörde in Fällen von eingehenden Beschwerden. Zudem ist er in Fällen der Verletzung von Datenschutzrechten der Ansprechpartner für betroffene Personen. Muss das Unternehmen eine Datenschutz- Folgenabschätzung durchführen, überwacht der Datenschutzbeauftragte diese und berät die Verantwortlichen. 7. Zweckänderungen Grundsätzlich wird von der DSGVO gefordert, dass die Verarbeitung der Daten zweckgebunden ist und Zweckänderungen (z. B. Verwendung der Kundendaten für Werb s) nach Art. 6 Abs. 4 DSGVO nur zulässig sind, wenn die betroffene Person in die Zweckänderung eingewilligt hat. Dabei nennt Art. 7 DSGVO die Voraussetzungen für eine Einwilligung: freiwillig und durch den Verantwortlichen nachweisbar, daher am besten schriftlich. Ebenso ist die Einwilligung jederzeit widerruflich. 3

4 8. Verarbeitungsverzeichnis Gemäß Art. 30 DSGVO sind die meisten Unternehmen ab dem 25. Mai 2018 verpflichtet, ein Verzeichnis über ihre Verarbeitungstätigkeiten zu führen. Dieses Verarbeitungsverzeichnis ersetzt das bisher erforderliche Verfahrensverzeichnis gem. 4g BDSG und beinhaltet weitere Anforderungen. Da eine allgemeine Nachweisund Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten in den Vordergrund rückt (z. B. Art. 5 Abs. 2 DSGVO), wird das Verzeichnis der Verarbeitungstätigkeiten in Zukunft eine große Rolle spielen, um diesen Anforderungen nachzukommen. Die folgenden Informationen sollten über das Verarbeitungsverzeichnis erfragt und erfasst werden: Welche Informationen erhalten Betroffene (zum Beispiel die Kunden) über die Erhebung und Speicherung personenbezogener Daten? Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB oder teil man sie mündlich mit? Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus leitet sich ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten etwa bei einer Vertragsbeziehung oder ob der Betroffene der Datenverarbeitung erst zustimmen muss. Werden Daten anonymisiert? Wie lange werden die Daten gespeichert? Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich? Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt? Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt? 9. Prozesse festlegen und Prozesshandbuch schreiben Unternehmen wird empfohlen, alle mit Datenverarbeitung verbundenen Prozesse zu dokumentieren und wenn erforderlich zu optimieren. Die folgenden Beispiele geben einen Überblick über mögliche zu dokumentierende Prozesse: Wie werden Kunden über die Verarbeitung ihrer Daten informiert? Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden? Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich? 4

5 Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? (Hinweis: Im Falle eines Datenverlusts, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren) Wie ist der Prozess der Datenlöschung organisiert? Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können? 10. Datenschutz-Folgeabschätzung Wer mit besonders sensiblen Daten arbeitet etwa Arztpraxen oder Versicherungsmakler muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgeabschätzung durchführen um hierdurch zu ermitteln, welche Folgen eine geplante Verarbeitung der Daten für den Schutz der Daten der Betroffenen hätte. Über das Instrumentarium der Datenschutz-Folgeabschätzung sollen Risiken beschrieben, bewertet und reduziert werden. Eine Datenschutz-Folgeabschätzung haben alle Unternehmen durchzuführen, die Daten erheben, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Die Datenschutz-Folgenabschätzung sollte die folgenden Mindestinhalte aufweisen: 1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke 2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung 3. Risikobewertung 4. Geplante Abhilfemaßnahmen zur Bewältigung der Risiken Fazit Da die Vorgaben des DSGVO bußgeldbewehrt sind und Art. 24 DSGVO eine generelle Beweislastumkehr bei objektiven Datenschutzverstößen enthält, muss jedes Unternehmen rechtzeitig vor Geltung des DSGVO prüfen, ob die derzeitige IT-Struktur den Anforderungen des DSGVO genügt. Ferner sind die IT-Prozesse sowie die verwendeten Vertragsmuster, Einwilligungs- und Datenschutzerklärungen rechtzeitig an die Anforderungen des DSGVO anzupassen. Wenn Sie Fragen im Zusammenhang mit der neuen Datenschutzgrundverordnung haben, beraten wir Sie gerne. 5