Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft und beinhaltet sowohl für Unternehmen als auch für Privatpersonen viele Änderungen im Vergleich zur bisherigen Rechtslage. Durch stärkere und präzisere Rechte für betroffene Personen und verschärfte Verpflichtungen für Verarbeiter von Daten, soll ein EU-weit wirksamer Schutz personenbezogener Daten ermöglicht werden. Die DSGVO wird in Deutschland zudem durch ein neues Bundesdatenschutzgesetz (BDSG) ergänzt, welches ebenfalls am 25. Mai 2018 in Kraft tritt. Da nicht mehr viel Zeit besteht die Neuerungen umzusetzen und es keine Übergangsvorschriften gibt, ist es wichtig sich rechtzeitig mit der neuen Verordnung auseinanderzusetzen.
Die DSGVO gilt für öffentliche Institutionen und Privatunternehmen, die in der EU ihren Sitz haben oder Waren und Dienstleistungen an EU-Bürger anbieten und im Rahmen ihrer beruflichen Tätigkeit personenbezogene Daten verarbeiten. Der Unternehmer muss die Rechtmäßigkeit und Zweckbindung der Datenverarbeitung sicherstellen und die Einhaltung der Rechte der betroffenen Personen gewährleisten und nachweisen können. Der Bußgeldrahmen bei Verstößen ist von 300.000 EUR auf 20 Mio. EUR bzw. vier Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens gestiegen.
Die wichtigsten zu beachtenden Grundprinzipien der DSGVO hinsichtlich personenbezogener Daten sind hierbei:
- die Datenverarbeitung der personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung oder eine Ausnahme gemäß der Bestimmungen der DSGVO vor (sog. Verbot mit Erlaubnisvorbehalt). Dies ist z.B. der Fall bei dem Vorliegen einer Einwilligung des Betroffenen gemäß Art. 7 oder 8 DSGVO oder die Erforderlichkeit der Verarbeitung zum Zwecke der Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung,
- die Verarbeitung muss auf das für den Zweck der Verarbeitung notwendige Maß beschränkt werden und muss darüber hinaus sachlich relevant sein,
- die Erhebung bedarf einer festgelegten, eindeutigen und rechtmäßigen Zweckbestimmung,
- die Datensicherheit ist durch näher bestimmte geeignete technische und organisatorische Maßnahmen umzusetzen.
Die Gewährleistung bedeutet für den Unternehmer weitergehende Pflichten, so ist der Stand der Technik dem Zweck der Datenverarbeitung anzupassen, um so den Schutz der personenbezogenen Daten zu optimieren und das Risiko für die Verletzung der persönlichen Rechte Dritter zu sichern.
Sofern eine Verletzung personenbezogener Daten eingetreten ist, ist dies in der Regel innerhalb von 72 Stunden der zuständigen Datenschutzbehörde zu melden. Zu beachten sind darüber hinaus die gegenüber der betroffenen Person bestehenden Informationspflichten hinsichtlich der verarbeiteten Daten sowie die Verpflichtung zur Berichtigung bzw. Löschung der personenbezogenen Daten nach Widerruf der Datenverarbeitung.
In einem Unternehmen ist weiterhin ein Datenschutzbeauftragter dann zu benennen, wenn zehn oder mehr Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Aufgabe des Datenschutzbeauftragten ist die Beratung und Unterstützung des Unternehmens bei der Durchsetzung der DSGVO. Die Verantwortung für die Einhaltung liegt jedoch bei der Unternehmensleitung.
Die DSGVO gilt nicht nur für ab dem 25.05.2018 gesicherte Informationen, sondern ebenfalls für alle im Vorfeld erfassten personenbezogenen Daten.