Wirtschaft im Südwesten
1 | 2018
58
PRAXISWISSEN
RECHT
Z
um 25. Mai 2018 tritt die neue europäische Datenschutz-Grund-
verordnung (DSGVO) in Kraft. Diese ist unmittelbar wirksam und
muss nicht mehr in nationales Recht umgesetzt werden. Sie ersetzt
weitgehend das momentan noch geltende Bundesdatenschutzgesetz,
das in diesem Zuge ebenfalls neu gefasst wird. Bestehende Abläufe
und Programme müssen daher bis zu diesem Stichtag angepasst sein.
Im Folgenden werden die wichtigsten Änderungen und Neuerungen
grob skizziert:
Grundsätze:
Neu eingeführt wird mit der DSGVO das Rechen-
schaftsprinzip. Es muss nachgewiesen werden können, dass die
Grundsätze zur Verarbeitung personenbezogener Daten eingehalten
werden. Dazu gehören beispielsweise die Speicherbegrenzung, Da-
tenminimierung und Transparenz. Durch das Rechenschaftsprinzip
wird es bei jedem dieser schon jetzt geltenden Grundsätze zu einem
deutlich höheren Dokumentationsaufwand kommen. Dargelegt wer-
den muss beispielsweise nicht nur, dass die Erhebung von perso-
nenbezogenen Daten an sich notwendig ist, sondern auch, warum
jeder einzelne Datensatz (etwa Adresse oder Telefonnummer) für den
Verarbeitungszweck von Bedeutung ist.
Einwilligung in die Datenverarbeitung:
Die Voraussetzungen für wirk-
same Einwilligungen in die Datenverarbeitung werden erhöht. So wird
etwa der Freiwilligkeitsaspekt einer Einwilligung in der DSGVO stark
betont: Maßgeblich wird berücksichtigt, ob der Vertragsschluss von
der Einwilligung in eine Datenverarbeitung abhängig gemacht wurde,
obwohl eine solche Datenverarbeitung eigentlich gar nicht erforderlich
ist für den Vertrag.
Informationspflichten:
Gleichzeitig werden die Informationspflichten
bei der Erhebung von personenbezogenen Daten wesentlich ausgewei-
tet. Neben allgemeineren Informationen wie Name und Kontaktdaten
des Verantwortlichen muss dem Betroffenen nun beispielsweise auch
mitgeteilt werden, wie lange die Daten gespeichert werden sollen. Hin-
zuweisen ist er auch auf Beschwerderechte bei der Aufsichtsbehörde,
oder darauf, ob er überhaupt dazu verpflichtet ist, personenbezogene
Daten anzugeben und welche Folgen eine Weigerung hätte.
Recht auf Datenübertragbarkeit:
Der Betroffene kann in Zukunft
verlangen, dass von ihm bereitgestellte Daten direkt an einen Dritten
übermittelt werden. Auch kann die Herausgabe der personenbezo-
genen Daten in einem gängigen (digitalen) Format verlangt werden.
Recht auf Löschung:
Wesentlich erweitert wird auch das Recht des
Betroffenen auf Löschung der erhobenen Daten. Neu eingeführt
wird damit ein sogenanntes „Recht auf Vergessenwerden“. Neben
dem Recht des Betroffenen ist für bestimmte Fallgruppen auch eine
Verpflichtung vorgesehen, die erhobenen Daten unaufgefordert zu
löschen.
Meldepflicht bei Sicherheitslücken:
Wenn der Schutz der perso-
nenbezogenen Daten verletzt wurde - zum Beispiel durch einen Ha-
ckerangriff - muss dies der zuständigen Aufsichtsbehörde zukünftig
binnen 72 Stunden mitgeteilt werden. Auch der Betroffene muss
grundsätzlich benachrichtigt werden. Sofern gegen diese Verpflich-
tung verstoßen wird, kann eine Sanktion verhängt werden.
Datenschutz-Folgenabschätzung:
Falls bei der Verarbeitung von per-
sonenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten der Betroffenen besteht, verpflichtet die DSGVO zur
Erstellung einer Datenschutz-Folgenabschätzung. Diese muss sys-
tematisch darlegen, warum und wie Daten erhoben werden, worin
die Risiken bestehen, und wie die Risiken bewältigt werden sollen.
Sofern der Verpflichtung nicht nachgekommen wird, kann auch hier
eine Sanktion verhängt werden.
Sanktionen:
Bisher sah das Bundesdatenschutzgesetz bei Verstö-
ßen einen Maximalbetrag für Sanktionen von 50.000 Euro oder bei
schwerwiegenden Verstößen von 300.000 Euro vor. Unter Geltung
der neuen DSGVO werden die starren Sanktionsgrenzen deutlich an-
gehoben und gleichzeitig flexible Grenzen eingeführt. Je nach Verstoß
werden so maximal bis 10 Millionen Euro beziehungsweise 20 Millio-
nen Euro oder flexibel bis zu zwei beziehungsweise vier Prozent des
weltweiten Vorjahresumsatzes als Sanktion fällig, je nachdem, wel-
cher Betrag größer ist. Dem entspricht es, dass laut der Verordnung
die Aufsichtsbehörden sicherzustellen haben, dass die Geldbußen
stets wirksam, verhältnismäßig und abschreckend sind.
BS
Änderungen im Datenschutzrecht ab 25. Mai 2018
Abläufe und Programme müssen angepasst werden
Bild: Fotolia
VERANSTALTUNGEN
Die drei IHKs im Regierungsbezirk organisieren mehrere
Seminare/Workshops zu den Änderungen, die sich im Zuge
der EU-Datenschutzgrundverordnung ergeben. Hier die ersten,
die folgenden werden im Regio Report angekündigt:
IHK Hochrhein-Bodensee:
31. Januar, 16 bis 19 Uhr, im
IHK-Gebäude in Konstanz sowie, 1. Februar, 16 bis 19 Uhr, im
IHK-Gebäude in Schopfheim, Anmeldung: Martina Muffler,
Tel. 07531 2860-118,
martina.muffler@konstanz.ihk.deIHK Schwarzwald-Baar-Heuberg:
24. Januar, 18 bis 20
Uhr, im IHK-Gebäude in Villingen-Schwenningen, Anmeldung:
Robert Dorsel, Tel. 07721 922-139,
dorsel@vs.ihk.deIHK Südlicher Oberrhein:
5. Februar und 6. März im
IHK-Gebäude in Freiburg, Anmeldung: Synthia Groß, Tel. 0761
3858-263,
synthia.gross@freiburg.ihk.de