Datenschutzrecht: EU-Datenschutz-Grundverordnung, DSGVO, General Data Protection Regulation, GDPR

Datenschutzbeauftragter, Datenschutz, Datenschutzgrundverordnung, Mai 2018, NeuregelungenAb 25. Mai 2018 wird mit der vollständigen Anwendbarkeit der Datenschutz-Grundverordnung das europäische Datenschutzrecht grundlegend reformiert und vereinheitlich. Mit dieser Internetseite wollen wir unseren Mandanten einen Überblick mit weiteren Informationen zum Thema bieten.

Zweck des Datenschutzes

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union sowie Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Im deutschen Recht …

Grundsätze

Verbotsprinzip

Der europäische Gesetzgeber verbietet grundsätzlich das automatisierte Verarbeiten personenbezogener Daten, es sei denn, es ist ein Erlaubnistatbestand des Art. 6 DSGVO vorliegend.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Art. 5 Abs. 1 a) DSGVO, ErwG 39

Der wichtigste Grundsatz der DSGVO ist, dass personenbezogene Daten auf rechtmäßige Weise (Art. 6 DSGVO) und nach Treu und Glauben verarbeitet werden sollen. Außerdem muss für jede natürliche Person Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchen Umfang dies geschieht und künftig geschehen wird.

Zweckbindung

Art. 5 Abs. 1 b) DSGVO, ErwG 39

Die personenbezogenen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, die zum Zeitpunkt der Erhebung feststehen.

Datenminimierung

Art. 5 Abs. 1 c) DSGVO

Die personenbezogenen Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.

Richtigkeit

Art. 5 Abs. 1 d) DSGVO

Die personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein.

Speicherbegrenzung

Art. 5 Abs. 1 e) DSGVO, ErwG 39

Die personenbezogenen Daten dürfen nur so lange in einer die Identifikation mit der betroffenen Person ermöglichenden Form gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

Integrität und Vertraulichkeit

Art. 5 Abs. 1 f) DSGVO, ErwG 39

Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, sodass die Sicherheit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist. Hierzu gehört auch die Sicherstellung, dass Unbefugte keinen Zugang zu den personenbezogenen Daten haben.

Rechenschaftspflicht/Accountability

Art. 5 Abs. 2 DSGVO

Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet („Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO) ist für die Einhaltung der genannten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit) verantwortlich und muss dessen Einhaltung nachweisen können.

Gebot der Datensicherheit

Art. 24, 32 DSGVO

Managementsystem

Datenschutz-Compliance

Betroffenenrechte

Datenschutzverletzungen

Meldungen an Betroffene, Art. 34 DSGVO

Meldungen an die Aufsichtsbehörde, Art. 33 DSGVO

Risikoanalyse

Art. 24, 32 DSGVO

Folgenabschätzung

Art. 35 DSGVO

ISO 29134

Dokumentation

Verfahrensverzeichnis, Art. 30 DSGVO

Datenschutzsensibilisierung

Datenschutzfreundliche Voreinstellungen

Art. 25 GSGVO, ErwG 78

„Privacy by Design“ und „Privacy by Default“

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat Empfehlungen für die „Privacy by Design“ veröffentlicht.

Datenschutzbeauftragte

Art. 37 DSGVO

Aufsichtsbehörden

Als Aufsichtsbehörden sind jeweils die Datenschutzbeauftragten der (Bundes-)Länder und der Bundesdatenschutzbeauftragte vorgesehen.

Änderungen mit der DSGVO

Eine wechselnde Zuständigkeit von unterschiedlichen Aufsichtsbehörden (derzeitige Rechtslage) stellt die Praxis häufig vor erhebliche Probleme. Aktuell kann dasselbe Unternehmen hinsichtlich datenschutzrechtlicher Fragestellungen der Aufsicht von gleich mehreren Behörden unterliegen, insbesondere dann, wenn ein Unternehmen in mehreren europäischen Ländern tätig ist. Dies führt dazu, dass mehrerer betroffener Datenschutzaufsichtsbehörden involviert sind und es zwangsläufig auch zu unterschiedlichen Rechtsauffassungen dieser kommen kann.

Dieses Problem soll mit Art. 56 DSGVO angegangen werden.
Nach Art. 56 Abs. 6 DSGVO ist bei grenzüberschreitender Datenverarbeitung die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen (bzw. des Auftragsverarbeiters). Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen künftig nur noch einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben sollen.

Hierfür wurde in Art. 56 DSGVO das sog. „One-Stop-Shop“-Prinzip verankert. Dieses sieht vor, dass in der Regel die Aufsichtsbehörde in deren Zuständigkeitsbereich der Sitz oder Hauptsitz eines Unternehmens liegt für das Unternehmen zuständig ist.

Sanktionen

Bußgelder

Die Vorschriften zu Sanktionen finden sich in den Artikel 83 und 84.

Es drohen Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.  Zeitgleich findet man aber auch das Beispiel von Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Es kommt hierbei auf die genaue Datenschutzverletzung an, um festzustellen, welche Art von Bußgeld droht.

Strafvorschriften

Strafrechtliche Sanktionen sollen von den einzelnen Mitgliedsstaaten festgelegt werden.

Haftung

Empfehlungen zur Projektplanung DSGVO

Weiterführende Informationen

Gesetzestexte

Dokumente

Webinar zum Thema

Diskussionsforum zum Thema

Beiträge zum Thema

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.