- 04.05.2016 -

EU-Datenschutz-Grundverordnung veröffentlicht

Am 4. Mai 2016 hat die Europäische Union die Endfassung der EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Die DSGVO wird die EU-Datenschutz-Direktive ersetzen und nach einer zweijährigen Umsetzungsfrist ab dem 25. Mai 2018 in allen EU-Mitgliedsstaaten unmittelbar und direkt gelten. Unternehmen haben bis dahin Zeit, ihr Datenschutz-Management-System den neuen Anforderungen anzupassen.

 

Die DSGVO sieht strengere und neue Rechte für Datensubjekte vor, beispielsweise ein Recht auf Vergessen oder ein Recht auf Datenübertragbarkeit, sowie neue Verpflichtungen für verantwortliche Unternehmen (Controller) und Auftragsdatenverarbeiter (Processor).

 

Hier sind ein paar der wichtigsten Änderungen:

 

Der räumliche Anwendungsbereich hat sich insofern geändert, dass nun neben Controllers neu auch Processors in der EU der Verordnung unterstehen. Wichtig ist, dass neu auch Unternehmen, die NICHT in der EU niedergelassen sind, der Verordnung unterstehen, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder das (online) Verhalten betroffener Personen beobachten, soweit ihr Verhalten in der EU erfolgt.

 

Verantwortliche Unternehmen müssen die Einhaltung der Verordnung nachweisen können und haben somit neu eine Rechenschaftspflicht (accountability). Diese beinhaltet Pflichten, wie:

 

  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  • Einführung einer Datenschutzpolitik und Richtlinien
  • Bestellung eines Datenschutzverantwortlichen in bestimmten Fällen
  • Umsetzung von technischen und organisatorischen Sicherheitsmassnahmen
  • Umsetzung von „privacy by design“ und „privacy by default“
  • Durchführung von Datenschutzfolgeabschätzungen

 

Verantwortliche Unternehmen können die Einhaltung der Verordnung auf verschiedene Weise bewiesen, beispielsweise durch Unternehmensrichtlinien, sog. Binding Corporate Rules (BCR), Zertifizierungen oder Verhaltens-Kodizes.

 

Die Bedingungen für die Einwilligung sind strenger. Verantwortliche Unternehmen müssen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Die Einwilligung muss freiwillig, spezifisch, eindeutig und aufgrund von genügend Informationen und für besonders schützenwerte Daten explizit erfolgen, sowie jederzeit widerrufbar sein. Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sich von den anderen Sachverhalten klar unterscheiden. Die Einwilligung ist nicht gültig, wenn ein klares Missverhältnis zwischen dem Datensubjekt und dem verantwortlichen Unternehmen besteht, was beispielsweise in einem Arbeitsverhältnis der Fall sein könnte. Schliesslich ist eine Einwilligung ungültig, wenn die Erfüllung eines Vertrages, einschliesslich die Erbringung einer Dienstleistung, von einer solchen Einwilligung abhängt, wenn für die Erfüllung des Vertrages die Verarbeitung der personenbezogenen Daten nicht erforderlich ist.

 

Auftragsdatenverarbeiter unterstehen ebenfalls der Verordnung und haben nun direkte gesetzliche Pflichten.

 

Im Falle einer Verletzung des Schutzes personenbezogener Daten, welche voraussichtlich zu einem Risiko für die betroffenen Personen führt, muss das verantwortliche Unternehmen die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, melden. Hat die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge, dann muss das verantwortliche Unternehmen die betroffenen Personen unverzüglich von der Verletzung benachrichtigen.

 

Datensubjekte können ihre Ansprüche auf immateriellen Schadenersatz geltend machen, wobei das verantwortliche Unternehmen die Beweislast trägt. Bussgelder für Verletzungen, beispielsweise Nichtbeachtung der Rechte der betroffenen Personen oder die Übermittlung von personenbezogenen Daten an einen Empfänger in einem Drittland ohne adäquaten Datenschutz, können bis zu 20 Millionen Euro oder 4% des weltweit jährlichen Umsatzes betragen.

 

Was sollten Unternehmen jetzt tun?

 

Unternehmen, welche der DSGVO unterstehen, sollten jetzt damit beginnen, ihren Datenschutz den neuen Anforderungen anzupassen und insbesondere:

 

  • Sich mit der DSGVO auseinandersetzen und ihre Verpflichtungen verstehen
  • Eine Gefährdungsanalyse und einen Soll-Ist-Vergleich durchführen, um allfällige Lücken zwischen ihrem jetzigen Datenschutz-Management-System und den neuen Anforderungen zu identifizieren.
  • Notwendige Massnahmen definieren und einen entsprechenden Zeit- und Umsetzungsplan erstellen
  • Richtlinien und Meinungen von nationalen Datenschutzbehörden und der Artikel 29 Arbeitsgruppe (WP29), welche in den nächsten Monaten erlassen werden, beachten

 

Was können wir für Sie tun?

 

Wir unterstützen Sie gerne bei der Erarbeitung der Grundlagen und eines vertieften Verständnisses der Anforderungen sowie bei der Durchführung von Gefährdungsanalysen, Soll-Ist Analysen, Entwicklung oder Anpassung von Datenschutz-Management-Systemen, Richtlinien und Prozessen, um eine optimale Basis zur Einhaltung der neuen DSGVO zu erschaffen und gleichzeitig Risiken zu minimieren.

 

Den finalen Text der DSGVO finden Sie in verschiedenen Sprachen hier: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC