Die EU-Datenschutz-Grundverordnung?
Die EU-Datenschutz-Grundverordnung der Europäischen Union regelt die Verarbeitung personenbezogener Daten und vereinheitlicht das Datenschutzrecht innerhalb der EU. Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke etwa aus den USA an die Regeln halten müssen.
Welche Strafen und Bußgelder drohen bei Verstößen gegen die EU-DSGVO?
Die EU-DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der EU-DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.
Die Umsetzung der Datenschutz-Grundverordnung stellt fast alle Unternehmen vor große Herausforderungen, für welche es in absehbarer Zeit keine Patentlösung geben wird.
Grundprinzipien
- Allgemeiner Grundsatz für die Verarbeitung personenbezogener Daten: Verbot mit Erlaubnisvorbehalt
- Enge Zweckbindung der Datenerhebung
- Datensparsamkeit und Datensicherheit
Wir empfehlen grundsätzlich unternehmensinterne Prozesse zu etablieren, um beispielsweise Personen Auskunft über ihre personengebundenen Daten zu geben, um personenbezogene Daten auf Anforderung zu löschen und die gespeicherten Daten ausreichend gegen Missbrauch zu schützen.
Die EU-DSGVO erweitert für Unternehmen die Pflichten aus dem Bundesdatenschutzgesetz und erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz.
Vor diesem Kontext wird deutlich, dass die rechtskonforme Umsetzung der EU-DSGVO einen nicht zu unterschätzenden Aufwand erfordert.
Sie haben weitere Fragen oder Interesse an unternehmensinternen Schulungen zum Thema Datenschutz?
Betroffenenrechte
- Proaktive Benachrichtigungen
- Auskunftsrecht
- Berichtigung unzutreffender personenbezogener Daten
- Löschung von Daten (Recht auf Vergessenwerden)
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Wir empfehlen grundsätzlich unternehmensinterne Prozesse zu etablieren, um beispielsweise Personen Auskunft über ihre personengebundenen Daten zu geben, um personenbezogene Daten auf Anforderung zu löschen und die gespeicherten Daten ausreichend gegen Missbrauch zu schützen.
Die EU-DSGVO erweitert für Unternehmen die Pflichten aus dem Bundesdatenschutzgesetz und erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz.
Vor diesem Kontext wird deutlich, dass die rechtskonforme Umsetzung der EU-DSGVO einen nicht zu unterschätzenden Aufwand erfordert.
Inhalte
- Stärkere Einbindung des Datenschutzbeauftragten und Verantwortlichkeiten festlegen; (Art. 39 Abs. 1 EU-DSGVO)
- Datenschutz-Folgenabschätzung/Privacy Impact Assessment als Prozess etablieren (Art. 35 EU-DSGVO)
- Meldepflichten bei Datenschutzverletzungen innerhalb von 72 Stunden (Art. 33 EU-DSGVO)
- Betroffenenrechte, Informationspflichten etc. (Art. 12 EU-DSGVO)
- Alle Prozesse dokumentieren (Art. 5 Abs. 2 EU-DSGVO)
- ADV-Verträge anpassen (Art. 28 EU-DSGVO)
- Verfahrensverzeichnis überprüfen (Art. 30 EU-DSGVO)
- Für Auftragsverarbeiter: neues Verzeichnis der Verarbeitungstätigkeiten erstellen (Art. 30 Abs. 2 EU-DSGVO)
- Schulungsplanung aufstellen (Art. 39 Abs. 1 EU-DSGVO)
- TOMs dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen (Art. 32 EU-DSGVO)
- Wirksamkeit der TOMs prüfen, Penetrationstests und Informationssicherheitsmanagement planen (Art. 32 Abs. 1 EU-DSGVO)
- Ggf. technische Umsetzung der Betroffenenrechte planen - Auskunft, Datenübertragbarkeit etc., z. B. (Art. 20 EU-DSGVO)
- Formulare und Einwilligungen überprüfen; (Art. 7 EU-DSGVO)
- Datenschutzerklärung anpassen, ggf. Webtracking anpassen, ePrivacy-Richtline anpassen (Art. 13 EU-DSGVO)
Wir empfehlen grundsätzlich unternehmensinterne Prozesse zu etablieren, um beispielsweise Personen Auskunft über ihre personengebundenen Daten zu geben, um personenbezogene Daten auf Anforderung zu löschen und die gespeicherten Daten ausreichend gegen Missbrauch zu schützen.
Die EU-DSGVO erweitert für Unternehmen die Pflichten aus dem Bundesdatenschutzgesetz und erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz.
Vor diesem Kontext wird deutlich, dass die rechtskonforme Umsetzung der EU-DSGVO einen nicht zu unterschätzenden Aufwand erfordert.