Die EU-Datenschutzgrundverordnung das ändert sich 2018!

Transkript

1 Die EU-Datenschutzgrundverordnung das ändert sich 2018! Am 25. Mai 2018 ist es so weit. Die neue EU-DSGVO tritt in Kraft. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzes führen. Die neue EU Datenschutzgrundverordnung wird die bisher doch erheblichen Unterschiede durch nationale Gesetzgebungen aufheben und das direkt geltende Recht in allen Mitgliedsstaaten sein. Im Vergleich zur bisherigen Rechtslage, bringt die neue Verordnung einige Veränderungen mit sich. Mit der Umsetzung sollten Unternehmen sich nicht zu viel Zeit lassen, denn für die verspätete Umsetzung der neuen Vergabe drohen hohe Bußgelder. Also heißt es: Setzen Sie sich schon jetzt damit auseinander und lassen Sie sich gegebenenfalls rechtlich beraten. Die 99 Artikel zielen hauptsächlich darauf ab, ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU zu kreieren. Vor allem die Rechte und Kontrollmöglichkeiten derjenigen, deren personenbezogene Daten verarbeitet werden, werden darin gestärkt. Einige wesentliche Punkte des bisherigen BDSG werden erhalten bleiben. Die in Art. 5 DSGVO festgelegten Grundsätze der Datenverarbeitung, an welchen sich die Verordnung orientiert, gleichen im Kern denen des BDSG: Zweckbindung, Rechtmäßigkeit, Richtigkeit, Datenminimierung (Datensparsamkeit), Zeitliche Beschränkung (Speicherbegrenzung), Vertraulichkeit, Integrität sowie eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung dieser Grundsätze. Doch was ändert sich wirklich? In der neuen Verordnung werden vor allem die Rechtsgrundlagen der Datenverarbeitung, die Pflichten der Verantwortlichen und die Rechte der Betroffenen geregelt. Durch die neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen werden die Rechte der Nutzer gestärkt. Der Zugang zu ihren Daten und der Information über deren Nutzung, wird Betroffenen hierdurch erleichtert und auch das bisher nur gerichtlich konstruierte Recht auf Vergessenwerden wird nun in Gesetzesform gegossen. Somit ist der Anspruch auf Löschung personenbezogener Daten nun gesichert. Auch der Datenschutz in Unternehmen ist vom DSGVO betroffen. So werden neben den bereits bekannten Pflichten nun weitergehende Anforderungen gestellt. Ein Beispiel hierfür ist beispielsweise die Pflicht, elektronische Anwendungen und Geräte datenschutzfreundlich voreinzustellen. Oder auch die neu eingeführte Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, wie z.b. durch neue Technologien.

2 Betroffen von der DSGVO sind auch Unternehmen, die ihren Sitz außerhalb der EU haben, deren Angebote sich aber an EU-Bürger wenden. Für Unternehmen wie Google und Facebook, mit Sitz in den USA hat dies weitreichende Folgen. Vor allem bei Verstößen sind die Änderungen sehr spürbar, da der Bußgeldrahmen erheblich erhöht wird und bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen kann. Wann dürfen Daten bearbeitet werden? Wenn es die Verordnung oder ein anderes Gesetz ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt, ist die Datenverarbeitung (DV) auch nach der DSGVO weiterhin zulässig. Da dies auch derzeit im BDSG so geregelt ist, wird sich also nichts Wesentliches ändern. Die eigentlich relevantesten Erlaubnistatbestände nach Art. 6 DSGVO sind: - es liegt eine Einwilligung des Betroffenen vor. Art. 7 und Art. 8 DSGVO definieren die Anforderungen, die an diese Einwilligung zu stellen sind. So soll etwa das Mindestalter bei 16 Jahren liegen es sei denn, die einzelnen Staaten senken die Altersgrenze auf maximal 13 Jahren ab. - die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. - die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. - die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Zwar hat man als Betroffener hiergegen ein Widerspruchsrecht, auf das auch hingewiesen werden muss doch es ist unklar, aus welchen Gründen ein solcher Widerspruch Erfolg haben könnte. Daher dürfte dieses Recht ins Leere laufen. Jedoch ist in Abs. 4 auch eine Regelung zu finden, nach welcher Daten später auch zu Zwecken verarbeitet werden dürfen, die nach dem ursprünglichen Zweck der Erhebung sprechen. Dazu zählt ausdrücklich die Nutzung zu statistischen Zwecken. Die Betroffenen müssen darüber allerdings informiert werden. Welche Daten dürfen nicht verarbeitet werden? Der Art. 9 DSGVO sieht ähnlich wie die bisherige Regelung im BDSG, besondere Daten vor, die grundsätzlich nicht verarbeitet werden dürfen. Hierzu zählen Informationen, aus denen rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, politische Meinungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch die Verarbeitung von Gesundheitsdaten, genetischen Daten und Daten zum Sexualleben oder auch der sexuellen Orientierung einer Person ist untersagt. Wenngleich die Inhalte den

3 bisherigen im BDSG ähneln, sind die Kategorien weiter gefasst. So fallen insbesondere auch biometrische Daten (Fingerprint, Stimmerkennung, etc.) nun auch darunter. Wenn allerdings ein Ausnahmetatbestand einschlägig ist, ist die Verarbeitung auch dieser Daten erlaubt. Dies ist hauptsächlich der Fall, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist. Anders als bisher im BDSG, ist dieser Erlaubnistatbestand aufgrund europäischer Richtlinien nicht mehr auf die gerichtliche Geltendmachung oder Abwehr beschränkt. Rechte der Betroffenen Informationspflichten Art. 13 und 14 DSGVO sehen für Unternehmen umfangreiche Informationspflichten vor, wenn Daten beim Betroffenen oder bei Dritten (wie etwa der Schufa) erhoben werden. Im Vergleich zu den aktuell geltenden Regelungen des BDSG, sollen diese erweiterten Pflichten den Datenschutz stärken. Im Wesentlichen müssen folgende Informationen mitgeteilt werden : Name und Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des Datenschutzbeauftragten (DSB), Zwecke und Rechtsgrundlage der Datenverarbeitung, Darstellung der berechtigten Interessen (wenn die Datenverarbeitung auf dem Tatbestand der Interessenabwägung gem. Art. 6 Abs. 1 f) BDSG beruht), ggf. Empfänger oder Kategorien von Empfängern der Daten, ggf. Informationen zur Datenübermittlung in Drittländer, Dauer der Datenspeicherung, Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde), Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung, Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.b. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.) Unternehmen müssen nach Art. 13 DSGVO den Betroffenen sofort bei Erhebung der Daten, z.b. bei der Bestellung eines Newsletters, entsprechend informieren. Nach Art. 12 Abs. DSGVO sollte dies schriftlich, aber auch in anderer Form (elektronisch, u.u. mündlich) geschehen. Wichtig hierbei ist es, auf eine transparente, präzise, verständliche und leicht zugängliche Form sowie eine klare und einfache Sprache zu achten. Die Information nach Art. 14 DSGVO, kann bei der Erhebung der Daten bei Dritten auch später erfolgen.

4 Allerdings gelten auch einige Ausnahmen von den Informationspflichten. Wenn der Betroffene bereits über diese Informationen verfügt, hat er beispielsweise keinen Informationsanspruch. Ausgeschlossen ist der Anspruch auch dann, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar unmöglich ist. Allerdings ist in diesem Fall eine öffentliche Bekanntmachung dieser Informationen, z.b. auf der Website, erforderlich. Zudem gilt diese Ausnahme nur bei der Datenerhebung bei Dritten, aber nicht wenn die Daten beim Betroffenen erhoben werden. Für den Fall, dass den Betroffenen diese Daten einmal mitgeteilt wurden, haben sie nach Art. 19 DSGVO einen weiteren Informationsanspruch, sollten diese Daten wieder berichtigt, gelöscht oder deren Verarbeitung eingeschränkt werden. Auskunftsrecht Gemäß Art. 15 DSGVO, haben die Betroffenenen ein umfassendes Auskunftsrecht, welches mit dem bisherigen 34 BDSG vergleichbar ist. Was allerdings neu ist, ist dass der Betroffene auch die Übermittlung und Auskunft der Daten in elektronischer (gängiger) Form sowie eine Kopie der Daten verlangen kann. Wenn Unternehmen personenbezogene Daten verarbeiten, hat der Betroffene das Recht, Informationen über diese zu verlangen. Dies kann beispielsweise Daten enthalten wie: Zu welchen Zwecken werden die Daten verarbeitet? An wen werden sie übermittelt und woher stammen sie? Wir ein Profiling daraus erstellt? Wie lange werden sie gespeichert? Recht auf Datenübertragbarkeit Durch das neu etablierte Recht auf Datenübertragbarkeit (Datenportabilität) gem. Art. 20 DSGVO, wird der Betroffene befugt, ihre Daten mitzunehmen. Dadurch kann er ein Unternehmen anweisen, gewisse Daten von einer automatisierten Anwendung (wie einem sozialen Netzwerk) auf eine andere Anwendung zu übertragen. Durch dieses Recht wird es Betroffenen erleichtert, den Anbieter zu wechseln, ohne Daten zu verlieren. Diese müssen dann in einem maschienenlesbaren und strukturierten Fomat übermittelt werden. Die Datenportabilität betrifft aber nur solche Daten, die der Nutzer selber zur Verfügung gestellt hat und keine sonstigen personenbezogenen Daten. Recht auf Löschung ( Recht auf Vergessenwerden ) Durch den Art. 17 DSGVO, erhalten Betroffene erstmals qua Gesetz ein Recht auf Löschung der eigenen Daten also das Recht auf Löschung der eigenen Daten, wenn: die Speicherung der Daten nicht mehr notwendig ist der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat die Daten unrechtmäßig verarbeitet wurden eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

5 Das Recht auf Vergessenwerden findet allerdings keine Anwendung, wenn: die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist Im Gegensatz zur vorher unklaren Situation, sieht die neue Norm hierzu also eine detaillierte Prozedur vor. Art. 16, sieht ergänzend dazu ein Recht auf Berichtigung vor. Betroffene können dadurch verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden. Außerdem erhält der Betroffene durch Art. 18 ein Recht darauf, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen. Dieses Recht greift zum Beispiel dann, wenn die Verarbeitung der Daten unrechtmäßig ist oder der Betroffene die Richtigkeit der Daten bestritten hat. Widerspruch bei automatisierten Einzelfallentscheidungen Einen erheblichen Unterschied gibt es bei Art. 22 DSGVO, der im Vergleich zum bisherigen 6a BDSG, Getroffenen das Recht einräumt, einer automatisierten Einzelfallentscheidung zu widersprechen. Bisher hatte die deutsche Norm solche Entscheidungen unabhängig von einem Widerspruch des Betroffenen, bis auf enge Ausnahmen generell verboten. Zu diesen automatisierten Einzelfallentscheidungen zählen alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, welche nicht von einem Mensch getroffen wurden. Hierunter fallen beispielsweise die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei welchen persönliche Aspekte lediglich elektronisch ausgewertet werden. Hierzu zählt insbesondere auch das Profiling (z.b. Werbung), bei welchem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden, wie etwa die wirtschaftliche Lage, persönliche Vorlieben oder Interessen, die Arbeitsleistung, Zuverlässigkeit oder das Verhalten. Lediglich bei den bereits beschriebenen besonders sensiblen Daten (Art. 22 Abs. 4, Art. 9 DSGVO), bleiben solche Entscheidungen weiterhin verboten. Wenn eine automatisierte Entscheidung z.b. für den Abschluss oder die Erfüllung eines Vertrags mit dem Betroffenen oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt, gilt das Widerspruchsrecht nach Abs. 2 ausnahmsweise nicht. Weitere Ausnahmen enthält das deutsche Umsetzungsgesetz in 37. u.a. Wenn dem Begehren des Betroffenen

6 uneingeschränkt stattgegeben wird, sowie für Krankenversicherer im Rahmen der Leistungsprüfung. Hier hat der Betroffene aber die Möglichkeit, die automatisierte Entscheidung überprüfen zu lassen. Vorgaben für Unternehmen Technischer und organisatorischer Datenschutz Um Datenschutz und Datensicherheit zu gewährleisten, müssen Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) treffen (Art. 24, 25 DSGVO). Bei der MAßnahmenplanung spielen u.a. der Stand der Technik sowie der Eintrittswahrscheinlichkeit und die Schwere der Risiken für die persönlichen Rechte und Freiheiten ab. Es sollen so wenige Daten wie möglich erhoben werden und diese dann so schnell wie möglich pseudonoymisiert werden. Technische Geräte und IT-Anwendungen müssen künftig so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind. Die erforderlichen Kontrollmaßnahmen (Art. 32 DSGVO un 64 ff. Und 71 bis 74 DSAnpUG-EU) werden in der DSGVO sowie der DSAnpUG-EU im Einzelnen beschrieben. Gemeinsame Datenverarbeitung Zukünftig ist es nach Art. 26 DSGVO auch zulässig, dass mehrere verantwortliche Stellen die erlaubte Datenverarbeitung gemeinsam durchführen können. Hierzu ist eine transparente Vereinbarung, welche die jeweiligen Zwecke und Verantwortlichkeiten sowie die Handhabung hinsichtlich der Betroffenenrechte festlegt, erforderlich. Es bleibt für Betroffene möglich, ihre Rechte gegenüber jedem einzelnen Verantwortlichen geltend zu machen. Auftragsdatenverarbeitung Zukünftig ist auch in Art. 28 und 29 DSGVO, die Auftragsdatenverarbeitung erlaubt. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Betroffen hiervon sind z.b. Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder eine externe Stelle mit der Erstellung wie beispielsweise von Rechnungen beauftragen. Auch wenn die neuen Regelungen den Vorgaben des 11 BDSG ähneln, enthalten sie im Vergleich weitergehende Pflichten für beide Seiten. Nur wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet, ist die Auftragsverarbeitung auch zulässig. Eine umfangreiche Aufzählung von Regelungsinhalten sowie Rechte und Pflichten, die in einem Vertrag zwingend vereinbart werden müssen, finden sich in Art. 28 DSGVO. Bei allen Ähnlichkeiten, gibt es auch Neuerungen im

7 Vergleich zum 11 BDSG. So ist beispielsweise neu, dass auch der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten führen muss. Bisher ist Datenverarbeitung und Auftragsverarbeitung in Drittstaaten nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Die bisherige deutsche Restriktion, dass in Drittstaaten auch bei angemessenem Datenschutzniveau keine Daten der besonderen Art (z. B. Gesundheitsdaten) verarbeitet werden dürfen, entfällt nach der DSGVO. Verzeichnis der Verarbeitungstätigkeiten Nach Art. 30 DSGVO, muss der Verantwortliche bzw. Der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten führen. Dabei handelt es sich, ähnlich wie beim bisherigen Verfahrensverzeichnis nach 4g Abs. 2, in Verbindung mit 4e BDSG, um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unternehmen mit weniger als 250 Beschäftigten, können nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein. Im Vergleich zur bisherigen Rechtslage, sieht die neue Verordnung zusätzliche Angaben vor, wie z.b. Name und Kontaktdaten des ggf. Bestellten Datenschutzbeauftragten, Löschfristen und die TOM. Datenschutzfolgenabschätzung Was für Unternehmen gänzlich neu ist, ist die in Art. 35 DSGVO geregelte Datenschutzfolgenabschätzung. Wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheit der Betroffenen birgt, ist sie nach Abs. 1 immer durchzuführen. Insbesondere bei der Verwendung neuer Technologien oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, ist dies der Fall. Die Folgeschutzabschätzung erfolgt in 3 Stufen: 1. In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten. 2. Wenn ein solches Risiko besteht, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird. 3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. (Diese Frist kann je nach Komplexität

8 von der Aufsichtsbehörde verlängert werden.) Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach 69 Abs. 1 DSAnpUG-EU. Gibt es im Unternehmen einen Datenschutzbeauftragten, muss dieser in die Datenschutz-Folgenabschätzung eingebunden werden. Diese ist schriftlich zu dokumentieren. Gegebenenfalls kann es sinnvoll sein, dies mit dem Verzeichnis der Verarbeitungstätigkeiten zu verknüpfen. Melde- und Informationspflichten bei Datenpannen Künftig gelten für die bisher in 42a BDSG vorgeschriebenen Melde- und Informationspflichten bei Datenpannen/Incidents, die Vorgaben des Art. 33 DSGVO. Daraus geht hervor, dass alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden müssen, außer das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich. Hierbei ist zu beachten, dass Unternemen solche Incidents der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung melden und folgende Informationen übermitteln: Beschreibung des Incidents, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze, Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners, Beschreibung der Folgen der Datenschutzverletzung, Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung. In Deutschland ist der Bundesbeauftragte für Datenschutz die zuständige Aufsichtsbehörde ( 65 DSAnpUG-EU). Zudem müssen Personen, die von einer Verletzung betroffen sind, selbst benachrichtigt werden (Art. 34 DSGVO und 66 DSAnpUG-EU). Jedoch entfällt diese Benachrichtigung wenn: der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, etwa durch Verschlüsselung, der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen, sie einen unverhältnismäßig hohen Aufwand erfordern würde dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

9 Datenschutzbeauftragter Unternehmen müssen nach Art. 37 DSGVO immer dann einen betrieblichen Datenschutzbeauftragten benennen, wenn Ihre Kerntätigkeit bzw. Die ihres Auftragsverarbeiters: aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft 38 DSAnpUG-EU erweitert die Gründe für die Benennung eines Datenschutzbeauftragten, sodass die danach auch erforderlich ist, wenn der Verantwortliche oder Auftragsverarbeiter: mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen ( insbesondere relevant bei Gesundheitsdaten) personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet Der Datenschutzbeauftragte muss fachlich und beruflich entsprechend qualifiziert sein. Hierfür können sowohl Externe oder auch Mitarbeiter des datenverarbeitenden Unternehmens eingesetzt werden. Bei Unternehmen mit mehreren Gesellschaften, können diese auch einen gemeinsamen Beauftragten benennen (Konzerndatenschutzbeauftragter). Dieser darf ohne wichtigen Grund gem. 626 BGB weder abberufen noch gekündigt werden ( 38 in Verbindung mit 6 Abs. 4 DSAnpUG-EU). Der Datenschutzbeauftragte ist nach Art. 38 DSGVO frühzeitig einzubinden. Er ist fachlich weisungsfrei und berichtet unmittelbar der höchsten Managementebene. Nach Art. 39 DSGVO umfassen seine Aufgaben: Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten, Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter Beratung auf Anfrage im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO Zusammenarbeit mit der Aufsichtsbehörde Tätigkeit als Anlaufstelle der Aufsichtsbehörde Sofern sichergestellt ist, dass sich daraus keine Interessenkonflikte ergeben, kann er im Unternehmen auch zusätzlich andere Aufgaben wahrnehmen.

10 Was kommt also auf die Unternehmen zu? Durch die DSGVO werden die bereits bekannten Pflichten erweitert und die rechtlichen, technisch-organisatorischen und betrieblichen Anforderungen an den Datenschutz werden erhöht. Es empfiehlt sich, sich frühzeitig mit diesen Änderungen auseinanderzusetzen, gegebenenfalls einen Rechtsbeistand hinzuzuziehen und Anpassungen vorzunehmen, um weiterhin rechtskonform im Online-Geschäft agieren zu können. Dabei ist die Umsetzungsfrist bis Mai 2018 relativ gering, während die Risiken einer mangelhaften Umsetzung aufgrund der Anhebung der Bußgelder sehr hoch sind. Die Reform kommt. Bist du bereit dafür?