DSGVO – Eckpfeiler

Bestimmte Meldepflichten - Unter den Meldepflichten versteht man unter Anderem, dass unter bestimmten Voraussetzungen die Aufsichtsbehörde binnen 72 Stunden nach einem Datenschutzverstoß darüber informiert werden müssen, wenn personenbezogene Daten kompromittiert wurden und dies eine ernsthafte Bedrohung für die Rechte und Freiheiten der Betroffenen darstellt.

Der Fortschritt im IT-Bereich bietet immer einfachere und schnellere Möglichkeiten der Datenerfassung, wie z. B. durch das Internet oder elektronische Zahlungsmethoden. Aus verschiedensten Gründen, wie z. B. der Marktforschung oder der Strafverfolgung, sind viele Institutionen an diesen Daten und deren uneingeschränkter Nutzung interessiert.Das ist aber nicht ohne weiteres legal. Daher ist es sehr wichtig, Kunden-, Lieferanten- und vor allem auch Personaldaten nach bestem Wissen und Gewissen zu schützen.

Recht auf Vergessenwerden

Wenn betroffene Personen nicht möchten, dass ihre Daten verarbeitet werden und es keine gesetzliche Grundlage für deren Speicherung gibt, müssen die Daten gelöscht werden. Dieses kennt man bereits aus dem Bundesdatenschutzgesetz (BDSG). Die DSGVO geht jetzt aber noch einen Schritt weiter, so dass auch Dritte, die die Daten verarbeiten, über den Löschwunsch des Betroffenen informiert werden müssen. Dabei sind im Rahmen des wirtschaftlich und technisch Machbaren entsprechenden Maßnahmen zu treffen, um auch diese Verarbeiter darüber zu informieren.Um diese Vorgaben rechtskonform zu erfüllen ist es sehr wichtig, auch die Löschkonzepte Ihres Unternehmens genau zu analysieren und ggf. zu optimieren.


Datenschutz-Folgenabschätzung

Die DSFA ist eine erweiterte Nachfolgeregelung zur Vorabkontrolle des BDSG. Sie ist in folgenden Fällen vorzunehmen:

• bei einer systematischen und umfassenden Bewertung persönlicher Aspekte, natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet […];

• bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;

• bei einer systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Unternehmen sollten sich frühzeitig mit dieser Thematik auseinandersetzen, da bei Feststellung eines hohen Risikos, das nicht reduziert werden kann, eine Konsultationspflicht gegenüber den Aufsichtsbehörden besteht!

Erweiterte Dokumentationspflichten

Noch mehr als das BDSG zuvor, betont die DSGVO die Wichtigkeit der Dokumentation. So ist zum Beispiel eine lückenlose Dokumentation

• der „Verletzungen des Schutzes personenbezogener Daten“ inklusive deren Auswirkungen und Abhilfemaßnahmen,

• dem „Verzeichnis von Verarbeitungstätigkeiten“,

• und von Nachweisen von Datenschutzmaßnahmen im Falle einer Auftragsverarbeitung nötig, um zukünftig die gesetzlichen Anforderungen erfüllen zu können.

Eine Prüfung vorhandener Dokumentation ist also Pflicht.

Empfindlichere Bußgelder

Die Sanktionen für Datenschutzverstöße wurden mit Einführung der DSGVO drastisch erhöht. Waren Bußgelder in der aufsichtsbehördlichen Praxis eher die Ausnahme, ist davon auszugehen, dass diese zukünftig wesentlich häufiger verhängt werden.

Im BDSG waren Bußgelder bis zu 300.000 Euro vorgesehen, bei wirtschaftlichem Vorteil in Einzelfällen auch schon mal mehr. Zukünftig können Bußgelder bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes gegen Unternehmen verhängt werden. Die Berechnung des Umsatzes knüpft dabei an den Umsatz der gesamten Unternehmensgruppe, nicht nur allein an der juristischen Person, die den Datenschutzverstoß zu verantworten hat. Die konkrete Bußgeldhöhe wird von den Umständen des jeweiligen Einzelfalls abhängen und kann auch deutlich unter den Höchstgrenzen liegen.

Neu in der Gesetzgebung der DSGVO sind der Direktanspruch des Betroffenen auch gegen den Auftragsverarbeitersowie - noch wichtiger - die Beweislastumkehr. So muss zukünftig nachgewiesen werden, dass das Unternehmen alle nötigen Schritte eingeleitet hat, um eine Verarbeitung auf zulässige Weise durchführen und die Daten angemessen schützenzu können. Dies wird wohl auch zu vermehrten Beschwerden und Klagen führen, wie in der zweiten Jahreshälfte 2018 bereits zu verzeichnen ist. Unternehmen sollten sich aktiv darauf einstellen, indem Sie ihre datenschutzrechtlichen Prozesse gut dokumentieren, um sich gegen unbegründete Beschwerden ohne erhöhten Aufwand verteidigen zu können.