DSGVO – Eckpfeiler

Bestimmte Meldepflichten

Unter den Meldepflichten versteht man unter anderem, dass unter bestimmten Voraussetzungen die Aufsichtsbehörden binnen 72 Stunden nach einem Datenschutzverstoß darüber informiert werden müssen, wenn personenbezogene Daten kompromittiert wurden und dies eine ernsthafte Bedrohung für die Rechte und Freiheiten der Betroffenen darstellt.

Änderungen nach Einführung der DSGVO

Wenn betroffene Personen nicht möchten, dass ihre Daten verarbeitet werden und es keine gesetzliche Grundlage für deren Speicherung gibt, müssen die Daten gelöscht werden. Dieses kennt man bereits aus dem Bundesdatenschutzgesetz (BDSG). Die DSGVO geht jetzt aber noch einen Schritt weiter, so dass auch Dritte, die die Daten verarbeiten, über den Löschwunsch des Betroffenen informiert werden müssen. Dabei sind im Rahmen des wirtschaftlich und technisch Machbaren entsprechenden Maßnahmen zu treffen, um auch diese Verarbeiter darüber zu informieren.Um diese Vorgaben rechtskonform zu erfüllen ist es sehr wichtig, auch die Löschkonzepte Ihres Unternehmens genau zu analysieren und ggf. zu optimieren.

Die DSFA ist eine erweiterte Nachfolgeregelung zur Vorabkontrolle des BDSG. Sie ist in folgenden Fällen vorzunehmen:

• bei einer systematischen und umfassenden Bewertung persönlicher Aspekte, natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet […];

• bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;

• bei einer systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Unternehmen sollten sich frühzeitig mit dieser Thematik auseinandersetzen, da bei Feststellung eines hohen Risikos, das nicht reduziert werden kann, eine Konsultationspflicht gegenüber den Aufsichtsbehörden besteht!

Noch mehr als das BDSG zuvor, betont die DSGVO die Wichtigkeit der Dokumentation. So ist zum Beispiel eine lückenlose Dokumentation

• der „Verletzungen des Schutzes personenbezogener Daten“ inklusive deren Auswirkungen und Abhilfemaßnahmen,

• dem „Verzeichnis von Verarbeitungstätigkeiten“,

• und von Nachweisen von Datenschutzmaßnahmen im Falle einer Auftragsverarbeitung nötig, um zukünftig die gesetzlichen Anforderungen erfüllen zu können.

Eine Prüfung vorhandener Dokumentation ist also Pflicht.

Die Sanktionen für Datenschutzverstöße wurden mit Einführung der DSGVO drastisch erhöht. Waren Bußgelder in der aufsichtsbehördlichen Praxis eher die Ausnahme, ist davon auszugehen, dass diese zukünftig wesentlich häufiger verhängt werden.

Im BDSG waren Bußgelder bis zu 300.000 Euro vorgesehen, bei wirtschaftlichem Vorteil in Einzelfällen auch schon mal mehr. Zukünftig können Bußgelder bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes gegen Unternehmen verhängt werden. Die Berechnung des Umsatzes knüpft dabei an den Umsatz der gesamten Unternehmensgruppe, nicht nur allein an der juristischen Person, die den Datenschutzverstoß zu verantworten hat. Die konkrete Bußgeldhöhe wird von den Umständen des jeweiligen Einzelfalls abhängen und kann auch deutlich unter den Höchstgrenzen liegen.

Neu in der Gesetzgebung der DSGVO sind der Direktanspruch des Betroffenen auch gegen den Auftragsverarbeiter sowie – noch wichtiger – die Beweislastumkehr. So muss zukünftig nachgewiesen werden, dass das Unternehmen alle nötigen Schritte eingeleitet hat, um eine Verarbeitung auf zulässige Weise durchführen und die Daten angemessen schützen zu können. Dies wird wohl auch zu vermehrten Beschwerden und Klagen führen, wie in der zweiten Jahreshälfte 2018 bereits zu verzeichnen ist. Unternehmen sollten sich aktiv darauf einstellen, indem Sie ihre datenschutzrechtlichen Prozesse gut dokumentieren, um sich gegen unbegründete Beschwerden ohne erhöhten Aufwand verteidigen zu können.

Wenn betroffene Personen nicht möchten, dass ihre Daten verarbeitet werden und es keine gesetzliche Grundlage für deren Speicherung gibt, müssen die Daten gelöscht werden. Dieses kennt man bereits aus dem Bundesdatenschutzgesetz (BDSG). Die DSGVO geht jetzt aber noch einen Schritt weiter, so dass auch Dritte, die die Daten verarbeiten, über den Löschwunsch des Betroffenen informiert werden müssen. Dabei sind im Rahmen des wirtschaftlich und technisch Machbaren entsprechenden Maßnahmen zu treffen, um auch diese Verarbeiter darüber zu informieren.Um diese Vorgaben rechtskonform zu erfüllen ist es sehr wichtig, auch die Löschkonzepte Ihres Unternehmens genau zu analysieren und ggf. zu optimieren.

Die DSFA ist eine erweiterte Nachfolgeregelung zur Vorabkontrolle des BDSG. Sie ist in folgenden Fällen vorzunehmen:

• bei einer systematischen und umfassenden Bewertung persönlicher Aspekte, natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet […];

• bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;

• bei einer systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Unternehmen sollten sich frühzeitig mit dieser Thematik auseinandersetzen, da bei Feststellung eines hohen Risikos, das nicht reduziert werden kann, eine Konsultationspflicht gegenüber den Aufsichtsbehörden besteht!

Noch mehr als das BDSG zuvor, betont die DSGVO die Wichtigkeit der Dokumentation. So ist zum Beispiel eine lückenlose Dokumentation

• der „Verletzungen des Schutzes personenbezogener Daten“ inklusive deren Auswirkungen und Abhilfemaßnahmen,

• dem „Verzeichnis von Verarbeitungstätigkeiten“,

• und von Nachweisen von Datenschutzmaßnahmen im Falle einer Auftragsverarbeitung nötig, um zukünftig die gesetzlichen Anforderungen erfüllen zu können.

Eine Prüfung vorhandener Dokumentation ist also Pflicht.

Die Sanktionen für Datenschutzverstöße wurden mit Einführung der DSGVO drastisch erhöht. Waren Bußgelder in der aufsichtsbehördlichen Praxis eher die Ausnahme, ist davon auszugehen, dass diese zukünftig wesentlich häufiger verhängt werden.

Im BDSG waren Bußgelder bis zu 300.000 Euro vorgesehen, bei wirtschaftlichem Vorteil in Einzelfällen auch schon mal mehr. Zukünftig können Bußgelder bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes gegen Unternehmen verhängt werden. Die Berechnung des Umsatzes knüpft dabei an den Umsatz der gesamten Unternehmensgruppe, nicht nur allein an der juristischen Person, die den Datenschutzverstoß zu verantworten hat. Die konkrete Bußgeldhöhe wird von den Umständen des jeweiligen Einzelfalls abhängen und kann auch deutlich unter den Höchstgrenzen liegen.

Neu in der Gesetzgebung der DSGVO sind der Direktanspruch des Betroffenen auch gegen den Auftragsverarbeiter sowie – noch wichtiger – die Beweislastumkehr. So muss zukünftig nachgewiesen werden, dass das Unternehmen alle nötigen Schritte eingeleitet hat, um eine Verarbeitung auf zulässige Weise durchführen und die Daten angemessen schützen zu können. Dies wird wohl auch zu vermehrten Beschwerden und Klagen führen, wie in der zweiten Jahreshälfte 2018 bereits zu verzeichnen ist. Unternehmen sollten sich aktiv darauf einstellen, indem Sie ihre datenschutzrechtlichen Prozesse gut dokumentieren, um sich gegen unbegründete Beschwerden ohne erhöhten Aufwand verteidigen zu können.