Im April 2016 wurde die Datenschutzgrundverordnung (DSGVO) im EU-Parlament verabschiedet. Sie soll für einen einheitlichen Datenschutz in Europa sorgen und trat 2018 in Kraft. Dieser Artikel fasst die wesentlichen Aspekte zusammen, beschreibt die erweiterte Verantwortlichkeit des Datenschutzbeauftragten und gibt abschließend einen Ausblick auf mögliche Massnahmen zur Erfüllung der Vorgaben der DSGVO.
Wichtige Neuerungen
- Personenbezogene Daten gehören dem Nutzer, nicht dem verarbeitenden Unternehmen. Sobald Daten erhoben werden muss der betroffene Nutzer sofort darüber informiert werden (Art. 13 DSGVO).
- Eine Weitergabe der persönlichen Daten zu anderen Unternehmen muss funktionieren (Art. 20 DSGVO) damit Nutzer einen Wechsel zu alternativen Anbietern einfach durchführen können. Somit muss es möglich sein Daten zu ex- und importieren. Dazu zählen Nachrichten, Kontakte oder auch Fotos.
- Eine Löschung persönlicher Daten muss möglich sein (Art. 17 DSGVO, Recht auf Vergessen).
- Nutzer sollen es leichter haben zu erfahren welche Daten über sie gesammelt werden (Art. 15 DSGVO). Wir müssen in leicht verständlicher Art und Weise die Nutzer über die Erhebung und den Zweck informieren können.
- Bei einer Datenkompromittierung müssen Unternehmen die Nutzer innerhalb von 24h darüber informieren (Art. 33 und 34 DSGVO).
- Zur Verarbeitung von persönlichen Daten muss eine ausdrückliche Zustimmung der Nutzer vorliegen.
- Das Mindestalter für Jugendliche die Onlinedienste ohne weitere Zustimmung der Eltern nutzen dürfen steigt auf 16 Jahre.
- Nach dem Marktortprinzip müssen auch Nicht-EU-Unternehmen sich an die neuen Datenschutzregelungen halten, sofern sie Daten von Nutzern in EU Markt verarbeiten.
- Nutzer müssen nicht mehr bis in das Land des Firmensitzes vor Gericht ziehen. Sie können im eigenen Land bei der Datenschutzbehörde Beschwerden einreichen.
- Bei Mißachtung der Regelungen können empfindliche Strafen von bis zu 4% des Jahresumsatzes fällig werden.
- Durch die Beweisumkehr müssen Unternehmen nachweisen dass sie die Datenschutzregelungen einhalten. Früher mussten die Behörden den Unternehmen die Verstöße beweisen. Dazu müssen z.B. risikoorientierte technische und organisatorische Maßnahmen umgesetzt werden (Art 24. DSGVO).
Der Datenschutzbeauftragte
Von seiner bislang beratenden Tätigkeit erweitert sich die Rolle des Datenschutzbeauftragten zur Verantwortung über die Umsetzung der von ihm vorgeschlagenen Maßnahmen. Damit kann er ebenso stärker als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Er muss deshalb seine Arbeitsabläufe überdenken und an die neue Grundverordnung anpassen sodass folgende Aufgaben erfüllt werden:
- Sensibilisierung und Schulung der Mitarbeiter die persönliche Daten verarbeiten
- Unterrichtung und Beratung der Verantwortlichen
- Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 35 DSGVO); hierbei handelt es sich um ein Äquivalent zur bereits im BDSG beschriebenen Vorabkontrolle
- Zusammenarbeit mit der Aufsichtsbehörde
- und im Allgemeinen Überwachung und Einhaltung der Datenschutz-Grundverordnung sowie nationaler Sonderregelungen.
Unternehmen müssen den Datenschutzbeauftragten zwar nur noch benennen (und nicht mehr „bestellen“), allerdings muss nun auch eine Mitteilung an die Aufsichtsbehörde erfolgen. Benennungspflicht besteht wenn die Datenverarbeitung von einer Behörde oder einer öffentlichen Stelle durchgeführt wird (Art. 37 I a) DSGVO), oder die Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachtung von Nutzern erforderlich macht (Art. 37 I b) DSGVO) oder wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten wie z.B. politische Meinungen, religiose Überzeugungen oder Gesundheitsdaten liegt.
Da die Neuregelungen nicht genau ausformuliert wurden, werden wir auf Probleme bei der Umsetzung stossen sodass vermutlich Gerichte zusätzlich beschäftigt werden. Um potentielle Auseinandersetzungen im Vorfeld zu vermeiden, sollten Unternehmer strukturiert die neuen Anforderungen analysieren und, analog wie wir es aus der Datensicherheit kennen, ein „Datenschutz-Management“ System einführen.
Das unabhängige Landeszentrum für Datenschutz veröffentlichte am 9.11.2016 das Standard-Datenschutzmodel. Die „Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ verabschiedeten ein Vorgehensmodell mit dessen Hilfe die Datenschutzanforderungen der DSGVO durch technische und organisatorische Maßnahmen mit einem Risikoansatz umgesetzt werden können. Es definiert Gewährleistungsziele und arbeitet mit den bekannten Sicherheitswerten wie „Verfügbarkeit“, „Integrität“ oder „Vertraulichkeit“. Über eine Schutzbedarfsfeststellung werden die notwendigen Maßnahmen zur Einhaltung der Anforderungen definiert. Ein Katalog mit Datenschutz-Referenzmaßnahmen befindet sich in Arbeit. Bis dahin kann das Handbuch in seiner Erprobungsfassung von uns Datenschutzbeauftragten getestet werden.