Neuerungen DSGVO

Was genau ändert sich durch die neue Verordnung für Unternehmen?

### UPDATE 03.05.2018 ###

Download
Die EU hat ein „Corrigendum“ zur DSGVO veröffentlicht.
Das Dokument umfasst insgesamt 386 Seiten und ändert alle Sprachfassungen der DSGVO. Die Änderungen für die deutsche Sprachfassung beginnen auf Seite 42 und umfassen 18 Seiten.
Mit solchen Dokumenten sollen eigentlich Rechtschreib- und/oder Grammatikfehler in den einzelnen Sprachvarianten beseitigt werden, die bei der Übersetzung passieren. Die Änderungen, die jetzt veröffentlicht wurden, sind überwiegend auch sprachlicher Natur. Aber eben nicht nur. Vielmehr wird die DSGVO auch inhaltlich geändert.
DSGVO_ST-8088-2018-INIT_EN_Corrigendum.p
Adobe Acrobat Dokument 2.0 MB

###Update 09.05.2018###

Download
Mandanteninformation-TrackingTools
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“ .
Mandanteninformation-TrackingTools.pdf
Adobe Acrobat Dokument 114.1 KB

 

 

 

Härtere Sanktionen & Unschuldsbeweis (Art. 83 Abs. 6 DSGVO):

Bei Datenschutzverstößen müssen Unternehmen künftig bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe zahlen. Im Rahmen der neuen Beweislastumkehr müssen künftig Unternehmen nachweisen, dass sie die Regeln eingehalten haben. Bisher mussten die zuständigen Behörden die Verstöße nachweisen.

 


Marktortprinzip
(Art. 3 DSGVO):

Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt agieren und zwar unabhängig davon, ob ein Unternehmen seinen Sitz in der EU hat oder wo die Datenverarbeitung stattfindet. D.h. unter die Datenschutzgrundverordnung fallen nun auch Unternehmen ohne Sitz in der EU, die aber in die EU Waren oder Dienstleistungen liefern.

 

Recht auf Datenübertragbarkeit (Art. 20 DSGVO):

Nutzer können laut Verordnung ihre persönlichen Daten wie Fotos, Videos, persönliche Nachrichten und Freundeslisten von einem Dienstleister, wie etwa Facebook, zu einem anderen Netzwerk mitnehmen. Allerdings ist noch unklar, wie dies in der Praxis genau umgesetzt werden soll.

 

Recht auf Vergessenwerden (Art. 17 DSGVO):

Unternehmen müssen personenbezogene Daten auf Wunsch der Betroffenen löschen. Diese Regelung geht maßgeblich auf ein Urteil des Europäischen Gerichtshofs zurück, welches Google die Pflicht auferlegte, auf Verlangen von Nutzern ihre Privatsphäre verletzende Suchergebnisse zu löschen.

 


Einwilligung
(Art. 7 DSGVO):

Unternehmen, die personenbezogene Daten verarbeiten, müssen dazu eine ausdrückliche Zustimmung von ihren Kunden einholen. Die Verordnung stellt nun klar, dass es keine vermutete Einwilligung geben kann und es nicht die Aufgabe der Nutzer ist, voreingestellte Haken aus Kästchen zu entfernen. Eine Zustimmung kann nur durch eine klare zustimmende Handlung erteilt werden. Diese muss freiwillig sein, das bedeutet ein Vertrag darf nicht an die Verarbeitung von Daten gebunden sein, die mit der erbrachten Leistung oder dem Produkt nichts zu tun haben (Kopplungsverbot). Die Kunden müssen jederzeit Einsicht in ihre Daten erhalten können und ihre Einwilligung jederzeit wiederrufen können.

 

Mindestalter für eine wirksame Einwilligung (Art. 8 DSGVO):

Das Mindestalter für eine wirksame Einwilligung in eine Datenverarbeitung ohne Zustimmung der Eltern, also z.B. für die Anmeldung auf Webseiten wie Facebook, wurde grundsätzlich auf 16 Jahre angehoben. Die Mitgliedsstaaten können diese Grenze jedoch bis auf 13 Jahre herabsetzen.

 

Datenschutzprinzipien:

Bisherige, im Bundesdatenschutzgesetz (BDSG) weniger stark ausgeprägte Prinzipien wie der Grundsatz der Zweckbindung oder der Datensparsamkeit, werden gestärkt; einige Prinzipien werden neu eingeführt.

Dazu zählen:

 

Grundsatz des Privacy by Design (Art. 25 Abs.1 DSGVO):

Privacy by Design bedeutet, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden sollen. Datenschutz und Privatsphäre sind von vorneherein in die Gesamtkonzeption und Entwicklung einzubeziehen, anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturentwicklungen zu beheben.

 

Grundsatz des Privacy by Default (Art. 25 Abs.2 DSGVO):

Online-Dienste (z. B. Browser) müssen die datenschutzfreundlichsten Voreinstellungen enthalten. Personenbezogene Daten sollen demnach nur dann verarbeitet werden, wenn dies für den Zweck erforderlich ist. Die Voreinstellungen sollen es dem Nutzer ermöglichen zu entscheiden, ob er Dritten den Zugriff auf seine personenbezogenen Daten ermöglichen will.

 

Grundsatz der Transparenz (Art. 5 Abs. 1 lit. A, 3.Fall DSGVO):

Der Transparenzgrundsatz ist durch die Informationspflichten in Art. 13 und 14 DSGVO näher ausgestaltet. Es ist nun erforderlich, neben Kontaktdaten des Verantwortlichen (also des die personenbezogenen Daten verarbeitenden Unternehmens) auch die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung anzugeben. Außerdem müssen die Betroffenen nun zusätzlich auf ihre Rechte (insbesondere auf Zugang, Berichtigung, Sperrung, Beschwerderecht bei der Aufsichtsbehördeusw.) hingewiesen werden. Ferner muss der Datenverarbeitende das berechtigte Interesse zur Datenverarbeitung angeben, sofern er sich auf ein solches stützt. Zudem muss die Herkunft der Daten und die Speicherdauer oder die Kriterien nach denen sich diese bestimmt, angegeben werden.

 

 

Technische und organisatorische Maßnahmen (Art. 32 DSGVO):

 

Die Auflistung von verpflichtenden Maßnahmen nach § 32 Abs. 1 DSGVO unterscheidet sich deutlich von der Anlage zu § 9 BDSG. Neu ist die Pseudonymisierungspflicht. Diese soll Daten im Missbrauchs -und Verlustfall schützen. Art. 32 Abs.1 DSGVO enthält darüber hinaus die Pflicht zur Datensicherung um Daten vor Verlust zu schützen. Außerdem besteht für den Verantwortlichen die Verpflichtung, die Datensicherheit regelmäßig zu überprüfen und zu evaluieren. Nicht in Art. 32 DSGVO aufgenommen wurden die Pflichten zur Eingabe- und Auftragskontrolle sowie das Trennungsgebot (aus Anlage 1 Satz 1 Nr. 5, 6 und 8 zu § 9 BDSG).

 

Datenschutzbeauftragter (Art. 39 DSGVO):

Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden. Den Schwellenwert aus dem BDSG, nach dem Unternehmen mit mehr als neun Beschäftigten einen Datenschutzbeauftragten bestellen müssen, gibt es in der Datenschutzgrundverodnung zwar nicht mehr, allerdings existiert eine Öffnungsklausel für nationale Regelungen. Für Deutschland wird davon ausgegangen, dass der Gesetzgeber über diese Öffnungsklausel die bisherige Rechtslage beibehält.

 

Auftragsdatenverarbeitung (ADV) (Art. 28 ff. DSGVO):

Zukünftig werden sowohl Auftraggeber als auch Auftragnehmer für die Datenverarbeitung gleichermaßen verantwortlich sein. Bisher war nach dem BDSG nur der Auftraggeber verantwortlich. Auch für eventuell verhängte Bußgelder können beide herangezogen werden. Der ADV-Vertrag kann nun auch elektronisch gefasst werden, während im BDSG die Schriftform zwingend vorgeschrieben ist.

 

Vereinfachte Beschwerden (Art. 77 DSGVO):

Es wird nach der neuen Verordnung zukünftig möglich sein, bei der Datenschutzbehörde des eigenen Landes Beschwerde einzureichen, ungeachtet des Konzernsitzes des Unternehmens. Auch Verbände dürfen in Zukunft im Auftrag von Verbrauchern klagen.

 

Einheitliche Rechtsdurchsetzung (Art. 58 DSGVO):

Durch einen europäischen Datenschutzausschuss, der sich aus Mitglieder der nationalen Aufsichtsbehörden zusammensetzt, soll die einheitliche Anwendung des Datenschutzrechts sichergestellt werden. Die Unabhängigkeit der Datenschutzbehörden bleibt gewahrt.

 

Meldepflichten (Art. 33 Abs. 1 DSGVO):

Eine wichtige Änderung betrifft auch die Meldepflicht der Unternehmen im Falle einer Datenpanne. Diese Pflicht wurde durch die neue Verordnung ausgeweitet. Sie gilt nun unabhängig von den betroffenen Daten. Zudem gibt es konkrete Meldefristen. So ist künftig grundsätzlich jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Die Pflicht entfällt aber unter bestimmten Ausnahmen, wie etwa wenn es unwahrscheinlich ist, dass die Verletzung zu einem Risiko für die Rechte und Freiheiten von Personen führt. Zudem wird eine Dokumentationspflicht für Unternehmen gegenüber der Aufsichtsbehörde zur Überprüfung der Meldepflicht bestehen. Unternehmen werden demnach alle etwaigen Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen dokumentieren müssen.

 

Datenweitergabe an Drittstaaten (Art. 44 ff. DSGVO):

Firmen sollen Daten nicht direkt an Behörden in Drittstaaten weitergeben dürfen. Dies ist nur erlaubt auf der Grundlage von Rechtshilfeabkommen oder ähnlicher, auf EU-Recht basierender Regeln. Auch außerhalb der EU müssen Bürgerinnen und Bürgern, deren Daten weitergeleitet werden, gleiche Rechte zustehen, einschließlich der Klagemöglichkeit im Drittstaat.1)

 

Quellen: Bitkom, LEAD digital