Was ist die Datenschutzgrundverordnung (DSGVO)?
Die Datenschutzgrundverordnung (DSGVO) ist eine europäische Verordnung, die ab dem 25.05.2018 anzuwenden ist. Alle in dieser Verordnung enthaltenden Regelungen finden unmittelbar in jedem EU-Mitgliedstaat Anwendung. Die Mitgliedsländer haben auf Grundlage der sogenannten „Eröffnungsklauseln“ jedoch die Möglichkeit einige nationale Regelungen zu treffen. Dazu hat die Bundesregierung das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU) verabschiedet, welches ebenfalls als BDSG-neu ab dem 25.05.2018 Wirksamkeit entfaltet.
Für wen gelten die neuen Regelungen zum Datenschutz in Europa?
Die neuen Regelungen gelten für alle nicht öffentlichen Stellen (z.B. Unternehmen, Vereine, ...) und öffentlichen Stellen (z.B. Ämter, Behörden, ...) in der europäischen Union. Aber auch Unternehmen die nicht in der EU sitzen, die Daten von EU-Bürgern verarbeiten um Ihnen Waren oder Dienstleistungen anbieten oder die das Verhalten von Personen in der EU beobachten müssen sich an diese Verordnung halten.
Was sind die wesentlichen Änderungen?
- Verantwortliche Stellen, die Daten Verarbeiten, durch die eine natürliche Person direkt oder durch Zusatzwissen identifizierbar wird haben den Nachweis zu erbringen, dass sie berechtigt sind diese Daten zu verarbeiten (Rechenschaftspflicht).
- Die Rechte des Betroffenen (der natürlichen Person), deren Daten verarbeitet werden wurden gestärkt. dazu zählen erweiterte Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Mitteilungspflichten, Recht auf Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.
- Für Verantwortliche und Auftragsverarbeiter haften bei Datenschutzverletzungen gleichermaßen, wenn diese die Vorgaben der Verordnung nicht einhalten und dadurch ein Schaden verursacht wurde.
- Betroffene können jetzt neben materiellen Schadensersatzansprüchen auch immaterielle Schadensersatzansprüche geltend machen.
- Die Bußgelder wurden durch die Datenschutzgrundverordnung deutliche erhöht (bis zu 20 Mio. Euro bzw. 4% des weltweiten Konzernumsatzes). Auch die Freiheitsstrafen aus dem bisherigen BDSG wurden in der neuen Fassung auf bis zu 3 Jahre ausgeweitet.
- Die Dauer zur Bearbeitung einer Betroffenenanfrage wurde auf 4 Wochen festgelegt (diese kann in Ausnahmen auf bis zu 3 Monate erweitert werden).
Wer ist für die Umsetzung der Maßnahmen zum Datenschutz verantwortlich?
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Wann ist ein Datenschutzbeauftragter zu bestellen?
Verantwortliche haben in Deutschland einen Datenschutzbeauftragten zu bestellen, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß besteht, oder
- in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen werden.
Was sind personenbezogene Daten?
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Welche Aufgaben hat der Datenschutzbeauftragte wahrzunehmen?
Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und gegebenenfalls Beratung zu allen sonstigen Fragen.
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Wer kann die Aufgabe des Datenschutzbeauftragten wahrnehmen?
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.
Wem ist der Datenschutzbeauftrage unterstellt?
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.