DSGVO

Was ist die DSGVO?

Die "Datenschutz-Grundverordnung" (auch DSGVO oder EU-DSGVO oder englisch GDPR genannt) ist eine Verordnung der Europäischen Union, in der der Datenschutz in der EU neugeregelt wird. Am 25. Mai 2018 enden die letzten Übergangsphasen und die  DSGVO tritt endgültig in Kraft. Bisher geltendes Recht wird damit ersetzt. Zum einen sollen durch die DSGVO die EU-Bürger stärker vor dem Missbrauch ihrer Daten geschützt werden, zum anderen sollen die Regelungen in den EU-Mitgliedsstaaten so vereinheitlicht werden. 

Zur Datenschutzerklärung springen

Was ändert sich durch die DSGVO?

Empfehlung

Einheitliches Recht in der EU

Die DSGVO gilt in allen 28 Mitgliedsstaaten, auch in den "exotischeren" Mitgliedern wie Malta oder Zypern. Dass beispielsweise Anbieter von Sportwetten auf diesen Inseln beheimatet sind, hat sicher auch etwas mit dem Datenschutz zu tun.

Saftige Bußgelder

Bisher waren in Deutschland maximal 300.000 Euro als Strafgelder für Verstöße gegen den Datenschutz möglich. Ab dem 25. Mai 2018 sind es 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes. 

Right to forget

Verbraucher haben nun das Recht auf Vergessenwerden. Unternehmen müssen auf Aufforderung alle Daten über den Verbraucher löschen. Darauf müssen die Unternehmen vorbereitet sein und auch technische Möglichkeiten bereitstellen, die dem Verbraucher erlauben, die Löschung zu beantragen.

dsgvo right to forget

DSGVO: Welche Pflichten entstehen Unternehmen?

Datenschutzbeauftragter

Unternehmen brauchen nicht grundsätzlich einen Datenschutzbeauftragten, das ist ein weitverbreitetes Missverständnis. Ein Unternehmen braucht einen, wenn es Verarbeitungsvorgänge gibt, die eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich" machen. Außerdem ist der Datenschutzbeauftragte nötig, wenn besondere persönliche Daten erhoben und verarbeitet werden. 

Sicherstellen von Auskunft und Löschung

Insbesondere die Informations- und Löschungspflichten sind neu für deutsche Unternehmen. Betroffene haben ein umfassendes Auskunftsrecht und können eine Kopie der Daten in elektronischer Form verlangen. Außerdem haben sie das Recht auf Vergessenwerden. Auf Aufforderung müssen Unternehmen alle Daten löschen, die über den Betroffenen vorliegen.

Geeignete technische und organisatorische Maßnahmen (TOM)

Abhängig von der Tätigkeit des Unternehmens und den damit zusammenhängenden Risiken kann mit dieser Formel vom Zaun oder Türschloss bis zum VPN alles gemeint sein. Eine Auflistung finden Sie hier.

Meldepflicht bei Datenschutz-Verletzungen

Grundsätzlich müssen alle Verletzungen des Datenschutzes gemeldet werden; und zwar innerhalb von 72 Stunden nach Bekanntwerden. An wen? An die zuständige Aufsichtsbehörde (je nach Land unterschiedlich) und – sofern möglich – an die betroffenen Personen. Sorgt die Verletzung des Datenschutzes "voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen", ist keine Meldepflicht gegeben.

Datenschutz-Folgeabschätzung

Wenn die Form der Datenverarbeitung ein "hohes Risiko" beinhaltet, dann muss eine "Abschätzung der Folgen" durchgeführt werden. Das Risiko ist hoch, wenn in der Datenverarbeitung die systematische und umfassende Bewertung besonderer persönlicher Aspekte natürlicher Personen vorgenommen wird.

In anderen Worten: Immer dann, wenn es um Sex, Religion, Nationalität, Rasse, Ethnie, Gesundheit, Vorstrafen, Gene, biometrische Merkmale oder um die systematische Überwachung von öffentlichen Plätzen geht, ist besondere Vorsicht – und die Folgeabschätzung – Pflicht. 

 

gdpr-dsgvo-security