DSGVO – Rechte und Pflichten – Was auf Sie zukommt – Teil 2

Ein Gastbeitrag zur DSGVO von:

Dr. Oliver Hornung, Rechtsanwalt für IT & Digital Business 

und Partner von SKW Schwarz Rechtsanwälte

Folgende Themen werden in dieser Beitragsserie behandelt

  1. Ziele und Grundsätze.
  2. Rechte der Betroffenen.
  3. Pflichten für Unternehmen.
  4. Internationale Datentransfers ins Ausland.
  5. Technischer und organisatorischer Datenschutz.
  6. Auftragsdatenverarbeitung.
  7. Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten.
  8. Neues europäisches Datenschutzrecht gilt auch für Website-Betreiber.
  9. Aufsichtsbehörden.
  10. Bußgelder und Sanktionen.
  11. Beschäftigtendatenschutz.
  12. Was ist für Unternehmen zu tun?

 

Rechte der Betroffenen

Die DSGVO bringt einige Neuerungen für das Datenschutzrecht mit sich. Diese betreffen nicht nur Unternehmen, sondern auch den einzelnen Betroffenen. Durch die DSGVO werden die Rechte der Betroffenen grundsätzlich gestärkt und in manchen Bereichen auch im Vergleich zur momentanen Rechtslage im BDSG ausgeweitet. Vor allem die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz des Betroffenen im Vergleich zu den aktuell geltenden Regelungen des BDSG. Zu den betroffenen Rechten gehören im Einzelnen:

  • Informationspflichten;
  • Auskunft, Berichtigung und Einschränkung der Verarbeitung;
  • Transparenz;
  • Recht auf „Vergessenwerden“;
  • Recht auf Datenübertragbarkeit;
  • Widerspruchsrecht;
  • automatisierte Generierung von Einzelentscheidungen.

Pflichten für Unternehmen 

Die DSGVO statuiert neben den im BDSG altbekannten Pflichten auch neue Anforderungen für Unternehmen zur Datenschutz-Compliance:

Gemeinsame Verantwortlichkeit

Neu ist die ausdrückliche Regelung, nach der mehrere Stellen gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich sein können. Die DSGVO schreibt für diese Fälle vor, dass in einer Verarbeitung festgelegt werden muss, welche Stelle für welche Aufgaben verantwortlich ist. Betroffene haben unabhängig von der Aufgabenverteilung das Recht, sich an jeden für die Verarbeitung Verantwortlichen zu wenden.

Verzeichnis der Verarbeitungstätigkeiten

Neben dem für die Verarbeitung Verantwortlichen hat zukünftig auch der Auftragsdatenverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Der Inhalt des Verzeichnisses entspricht im Wesentlichen den Anforderungen des BDSG an das Verfahrensverzeichnis, allerdings muss das Verzeichnis nach der DSGVO nicht mehr jedem Anfragenden, sondern nur noch der Aufsichtsbehörde auf Anforderung vorgelegt werden. Die Pflicht zur Führung eines solchen Verzeichnisses besteht nur für Unternehmen oder Einrichtungen, die 250 oder mehr Mitarbeiter beschäftigen, so lange durch die Verarbeitung keine Risiken für Rechte und Freiheiten der Betroffenen entstehen. Bei der Verarbeitung sensibler Daten besteht die Pflicht hingegen immer.

Datenschutzfolgeabschätzung

Ähnlich der im BDSG geregelten sogenannten Vorab-Kontrolle durch den betrieblichen Datenschutzbeauftragten verpflichtet die DSGVO die für die Verarbeitung Verantwortlichen zur Durchführung einer Datenschutzfolgeabschätzung, wenn Verarbeitungen voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge haben.

Ergibt sich aus einer Datenschutzfolgeabschätzung ein hohes Risiko und ergreift der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos, ist die zuständige Aufsichtsbehörde zu konsultieren.

Vertreterbenennung durch Stellen außerhalb der EU

Sofern ein für die Verarbeitung Verantwortlicher oder ein Auftragsdatenverarbeiter selbst keine Niederlassung in der Europäischen Union hat, ist er verpflichtet, einen Vertreter innerhalb der Europäischen Union zu benennen, der für Betroffene und Aufsichtsbehörden als Anlaufstelle fungiert.

Datensicherheit

Als zentrales Prinzip des Datenschutzes wurde auch die Gewährleistung von Datensicherheit gesetzlich verankert. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und schwere des Risikos für die persönlichen Rechte und Freiheiten eines Betroffenen haben Verantwortliche und Auftragsdatenverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen.

Die DSGVO führt hierzu unter anderem auf eine Pseudonymisierung oder Verschlüsselung sowie die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten.

Verhaltensregeln und Zertifizierungen

Die DSGVO stellt erstmals umfassende Regelungen für die Einführung von Verhaltensregeln und Zertifizierungen auf. Danach können Verbände und Vereinigungen konkrete Verhaltensregeln im Zusammenhang mit der Datenverarbeitung für ihre Mitglieder aufstellen und diese von den Aufsichtsbehörden freigeben lassen (sogenannte Code of Conducts). Ziel dieser Regelungen soll es sein, gerade für kleinere und mittlere Unternehmen einfache branchenübliche Vorgaben für den Datenschutz zu schaffen.

Die DSGVO regelt weiterhin erstmals grundlegend die Anforderungen an Zertifizierungen. Solche können von unabhängigen Zertifizierungsstellen vergeben werden, die allerdings von den Aufsichtsbehörden akkreditiert werden müssen.

 

Teil 1 der Beitragsserie – Ziele und Grundsätze