Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

EU-Datenschutz-Grundverordnung: Diese Vorgaben müssen Sie bis zum 25.5.2018 umsetzen

0 Beurteilungen
DS-GVO ab 25.05.2018 | Urheber: sdecoret - Fotolia

Von Sabine Sülberg,

Am 25.5.2018 wird die EU-Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (DS-GVO) geltendes Recht in allen europäischen Mitgliedstaaten, um einen einheitlichen Datenschutz in Europa zu etablieren. Haben Sie sich auf die neuen Vorgaben bereits eingestellt? Wenn nicht, können Sie im Folgenden lesen, was es zu beachten gilt und wie Sie sich optimal auf die neuen Anforderungen vorbereiten können.

Uns in Deutschland trifft es nicht so hart wie andere europäische Länder, da die meisten Vorgaben bereits im Bundesdatenschutzgesetz (BDSG) zu finden waren, wenn auch anders formuliert. Allerdings stärkt die DS-GVO die Rechte einzelner Bürger im Hinblick auf die Verarbeitung von personenbezogenen Daten. Wenn Sie die Vorgaben aus dem BDSG bereits erfüllen, gibt es für Ihre alltägliche Unternehmenspraxis nicht viel Neues umzusetzen.

Dennoch bricht in Deutschland momentan eine regelrechte „Datenschutz- Panik“ aus. Dies kommt daher, dass die Kontrollen bisher überschaubar und die Strafen bezahlbar waren. Zukünftig wird mehr kontrolliert und die Strafen bei Datenschutzverstößen mit noch höheren Bußgeldern belegt.

Wie kam es zur Einführung der DS-GVO?

Es sollte eine weitgehende Vereinheitlichung des Datenschutzes in Form einer in der Europäischen Union gültigen Verordnung definiert werden. Die Verordnung hat das Ziel, die

  • Rechte von Verbrauchern zu schützen.
  • Grundrechte natürlicher Personen zu schützen.
  • Unternehmen stärker für die von ihnen gespeicherten personenbezogenen Daten verantwortlich zu machen. 

Die DS-GVO kommt einem grundsätzlichen Verbot im Umgang mit personenbezogenen Daten gleich. Es bedarf also quasi einer Erlaubnis, derartige Daten zu verarbeiten. Das Ganze bietet beispielweise für Unternehmen den Vorteil, dass Konzerne innerhalb ihrer Unternehmen vereinfacht Daten weitergeben können. Und was für alle von Vorteil ist: Daten müssen tatsächlich gelöscht und nicht, wie im Internetzeitalter üblich, noch irgendwo gespeichert werden.

Was bedeutet der „moderne Datenschutz“

Um dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten, Rechnung zu tragen, wurden Datenverarbeitungsgrundsätze in Art. 5 festgelegt. Die Verarbeitung von Daten soll 

  • rechtmäßig und richtig sein,
  • Treu und Glauben entsprechen,
  • zweckgebunden verwendet werden und
  • auf das Minimum beschränkt und transparent sein. 

Die Grundsätze der Integrität und Vertraulichkeit sollten jederzeit gewahrt werden. Es sollte eine Speicherbegrenzung der personenbezogenen Daten erfolgen und zu jederzeit muss Rechenschaft über die Speicherung und Verarbeitung dieser Daten abgelegt werden können.

Neue Anforderungen für Unternehmen gerade im Bereich der Videoüberwachung

Neben den Änderungen, die für den grundsätzlichen Datenschutz im Unternehmen wichtig sind, gibt es für Sie als Sicherheitsverantwortlichen gerade im Bereich der Videoüberwachung Änderungen (siehe auch hier!). Sollten Sie eine Videoüberwachung im Einsatz haben, ist es für Sie aufgrund der neuen Verordnung einfacher, diese auch zu betreiben. Allerdings hat Deutschland aufgrund der „Öffnungsklausel“, die jedem Mitgliedstaat erlaubt, nationale Regelungen aufzusetzen, die Möglichkeit, diese noch zu verschärfen. 

Regelung derzeit nach BDSGRegelung künftig nach DS-GVO
Nur zu bestimmten Zwecken zulässigGeringere datenschutzrechtliche Anforderungen, da nicht jede Art der Videoüberwachung als risikobehaftet gilt
Hinweispflicht sowie Nennung der verantwortlichen StelleKeine Angaben in der DS-GVO
Unterschied zwischen Monitoring und Speichern (Rechtfertigung und Löschfristen)Keine Angaben in der DS-GVO
Zugriff auf Bilder nur durch bestimmte PersonengruppeKeine Angaben in der DS-GVO
Prüfen der Vorgaben erfolgt durch Vorabkontrolle via Aufsichtsbehörde oder betrieblichen DatenschutzbeauftragtenDatenschutz- Folgenabschätzung nur dann, wenn systematische und weiträumige Überwachung stattfindet
  • Offene Überwachung am Arbeitsplatz möglich, wenn § 6b BDSG erfüllt wird
  • Ggf. auch verdeckt, wenn ein konkreter Verdacht besteht, die Überwachung nicht verhältnismäßig ist und kein anderes Mittel verbleibt
  • Keine Überwachung von Sozialräumen
Keine Angaben in der DSGVO (in der Entwurfsversion waren sie noch enthalten)

Die Aufsichtsbehörden müssen eine Liste der Datenverarbeitungs- prozesse, die der Datenschutz-Folgenabschätzung unterliegen, erstellen. Hierbei wird sicherlich auch das Thema der Videoüberwachung thematisiert. Somit muss man die konkreten Auswirkungen, die Sie im Unternehmen tatsächlich im Hinblick auf die Videoüberwachung spüren werden, abwarten.

Mehr Informationspflichten und Transparenz seitens der Unternehmen

Jeder Betroffene muss sofort bei Erhebung der Daten informiert werden (z. B. beim Bestellen eines Newsletters). Des Weiteren hat der Betroffene ein Auskunftsrecht nach Artikel 15 über den Zweck der Datenverarbeitung, die Kategorie der Daten und den Datenempfänger etc.

Hier gilt es für Sie zu prüfen, inwieweit Sie der in Artikel 13 geforderten Informationspflicht bzw. dem in Artikel 15 geforderten Auskunftsrecht bereits nachkommen.

Umkehr der „Beweislast“ für Ihr Unternehmen

Bei Datenschutzverstößen müssen diese nicht länger von den zuständigen Behörden bewiesen werden, denn Sie als Unternehmen sind in der Pflicht nachzuweisen, dass Sie die gesetzlichen Grundlagen der DS-GVO zuverlässig einhalten. Das bedeutet für Sie, stets alles genau zu dokumentieren.

Höhere Strafen/Bußgelder für Datenproduzenten

Die Höhe der zu zahlenden Strafen dient im Wesentlichen der Abschreckung hinsichtlich möglicher Datenschutzverstöße. Es soll Unternehmen sowohl für die internen Prozesse sensibilisieren als auch das Bewusstsein in Bezug auf die Grundrechte der Europäischen Union stärken. Bußgelder werden verhängt durch die Landes- und Bundesdatenschutzbeauftragten.

Strafen und Bußgelder werden gemäß Artikel 83 nach der Schwere der Verstöße definiert. Dies geschieht anhand folgender Kriterien: 

  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Art und Schwere sowie Dauer des Verstoßes
  • Berücksichtigung früherer Verstöße
  • Kategorien personenbezogener Daten 

Diese 8 Punkte sollten Sie im Hinblick auf den 25.5.2018 in Ihrem Unternehmen bedenken

In der Verantwortung ist jede natürliche oder juristische Person, Behörde, Einrichtung sowie jedes Unternehmen, das allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – also auch Ihr Unternehmen.

Hieraus ergeben sich selbstverständlich einige Pflichten, die sich wiederum auf Ihre internen Prozesse übertragen lassen: 

  1. Sie müssen Personen (z. B. Kunden) viel umfassender und früher darüber unterrichten, dass deren personenbezogene Daten in Ihrem Haus verarbeitet werden.
  2. Sie sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen.
  3. Sie sind auskunftspflichtig, wenn ein Betroffener Einsicht in seine in Ihrem Unternehmen gespeicherten Daten nehmen will.
  4. Verstöße müssen unverzüglich und ohne unangemessene Verzögerung binnen 72 Stunden, nachdem die Verletzung bekannt wurde, gemeldet werden – auch dem Betroffenen selbst (dies hängt von der Tragweite der Datenpanne ab).
  5. Sie sind in der Pflicht, eine Datenschutz-Folgenabschätzung durchzuführen. Stellen Sie sich hier die folgenden Fragen: Wie risikoreich ist eine Datenverarbeitung in diesem oder jenen Fall hinsichtlich der Rechte des Betroffenen? Können wir gewährleisten, dass das Betroffenenrecht nicht verletzt wird?
  6. Sobald personenbezogene Daten nicht mehr benötigt werden, sind Sie verpflichtet, diese zu löschen (Recht auf Vergessenwerden).
  7. Verwenden Sie keine Voreinstellungen bei den ABGs etc. Der Betroffene muss selbst sein Kreuzchen machen können.
  8. Sammeln Sie so wenig Daten wie möglich. Denken Sie an die Zweckbindung. 

Mit den folgenden Maßnahmen sind Sie für die neue DS-GVO gewappnet

  1. Klassifizieren Sie zunächst Ihr Datenmaterial, und machen Sie sich klar, wo personenbezogene Daten gespeichert sind und wie.
  2. Wer in Ihrem Hause hat tatsächlich Zugriff auf personenbezogene Daten und warum?
  3. Aufgrund der Speicherfristen müssen Sie stets die Kontrolle über personenbezogene Daten behalten und einen Überblick darüber bewahren wo, wann und aus welchem Grund Daten erfasst und gespeichert wurden.
  4. Planen (wer, was, wann, wo, wie?) und budgetieren (was muss ich haben und was kostet mich die Umsetzung?) Sie das Projekt „Umsetzung der DS-GVO im Unternehmen“.

Letztlich ist alles machbar, wenn man rechtzeitig beginnt, sich mit den Themen auseinanderzusetzen, und ein geeignetes Team für die Umsetzung aufstellt, das aus IT-, Datenschutzbeauftragten, Sicherheitsverantwortlichen, der Betriebsleitung, dem Betriebsrat und allen Abteilungsleitern im Unternehmen besteht.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs