Datenschutz 2.0 – Alles neu machte der Mai

Datenschutz 2.0 - Alles neu machte der Mai

Wesentliche Neuerungen durch die Datenschutzgrundverordnung

1. Verbotsgesetz mit Erlaubnisvorbehalt

Die DSGVO ist – wie die Straßenverkehrsordnung – ein Verbotsgesetz mit Erlaubnisvorbehalt. Das heißt eigentlich darf niemand personenbezogene Daten verarbeiten. Erlaubt ist das nur, in den von der DSGVO in Artikel 6 vorgesehen Fällen, das heißt, wenn

– eine Einwilligung des Betroffenen vorliegt,
– die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist,
– die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
– die Verarbeitung der Erfüllung einer öffentlichen Aufgabe dient,
– die Verarbeitung aus berechtigten Interessen des Verantwortlichen erfolgt.

2. Das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Nach dem „Facebook“-Artikel werden die Rechte von Nutzern sozialer Netzwerke gestärkt. Artikel 20 DSGVO sieht vor, dass Nutzer ihre Daten von einem sozialen Netzwerk zum anderen mitnehmen können. Wie dies in der Praxis umgesetzt werden soll, sieht die DSGVO allerdings nicht vor. Womit es warten auf den ersten Präzedenzfall heißt.

3. Das Recht auf Vergessenwerden (Artikel 17 DSGVO)

Die DSGVO gibt jedem Betroffenen das Recht, das seine Daten auf sein Verlangen hin gelöscht werden. Für Unternehmen bedeutet das, dass sie Löschprinzipien erarbeiten und in ihre Geschäftsabläufe implementieren müssen.

4.Technische und organisatorische Maßnahmen (Artikel 32)

A propos Prinzipien implementieren: Die DSGVO listet in Artikel 32 DSGVO verpflichtenden Maßnahmen auf, die ein Verantwortlicher für die Datenverarbeitung umsetzen muss. Neu im Vergleich zur Anlage zu § 9 BDSG (alt) ist die Pseudonymisierungspflicht. Daten müssen im System pseudonymisiert werden, um sie im Fall einer vor dem Zugriff unbefugter Dritter zu schützen. Auch Maßnahmen gegen Datenverlust sind nun verpflichtend. Außerdem enthält Artikel 32 nun die Überprüfungs- und Evaluierungspflicht für den Verantwortlichen bezüglich der Datensicherheit der Datenverarbeitung.

5. Datenschutzbeauftragter (Artikel 39)

Er ist Pflicht. Dabei müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden. Welche Aufgaben ein Datenschutzbeauftragter und was seine Stellung bedeutet, erfahren sie hier.

6. Meldepflichten (Artikel 33 DSGVO)

Mit der DSGVO tritt auch die Pflicht des Verantwortlichen zur Meldung einer Datenpanne in Kraft und zwar unter konkreten Meldefristen. Jede Verletzung des Schutzes personenbezogener Daten ist ohne unangemessene Verzögerung und mit Möglichkeit innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Sie entfällt nur in bestimmten Ausnahmen, zum Beispiel, wenn kein Risiko der Verletzung von Rechten und Freiheiten der betroffenen Personen besteht.

Ja, die Pflichten für Unternehmen sind durch die DSGVO umfangreicher geworden. Und ja, die Datenverarbeitungsprozesse müssen an die neuen Regelungen angepasst werden. Denn die DSGVO sieht auch schärfere Sanktionen für Unternehmen vor, die sich nicht an die neuen Regelungen halten. Verhängte Bußgelder können bis zu 4% des Jahresumsatzes betragen.
Wir helfen ihnen gerne dabei ihre bestehenden Prozesse zu analysieren und an die Regelungen der DSGVO umzusetzen, damit die DSGVO bei Ihnen kein Fragzeichen hinterlässt. 

RUFEN SIE UNS AN, WIR BERATEN SIE GERNE