Informationen zum Datenschutz I April 2016 Europäische Datenschutz-Grundverordnung Die von der Europäischen Union geplante Europäische Datenschutz-Grundverordnung (DSGVO) soll einheitliche Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen innerhalb Europas definieren. Mit der stärkeren Harmonisierung durch die DSGVO soll der freie Datenverkehr innerhalb des europäischen Binnenmarkts gewährleistet und gefördert werden. Die DSGVO wird die europäische Datenschutzrichtlinie aus dem Jahr 1995 (Richtlinie 95/46/EG) ersetzen und ab ihrem Inkrafttreten Anfang 2018 ohne Umsetzungsakt unmittelbar in allen Mitgliedstaaten gelten. Die DSGVO wird dann in ihren Regelungsbereichen das bisher geltende Bundesdatenschutzgesetz (BDSG) ersetzen und somit einen neuen Rechtsrahmen für den Datenschutz in Deutschland schaffen. Die meisten aus dem BDSG und der Datenschutzrichtlinie bekannten Grundprinzipien finden sich auch in der DSGVO wieder, gleichwohl ergeben sich zahlreiche Unterschiede im Detail. Viele Voraussetzungen, bei denen bisher nur die allgemeinen Prinzipien geregelt waren, werden demnächst konkreter und genauer definiert. Anknüpfungspunkt für die Anwendbarkeit der datenschutzrechtlichen Bestimmungen bleibt aber weiterhin die Verarbeitung personenbezogener Daten. Welche neuen Rechte gibt es für Betroffene? Betroffene können zukünftig gem. Art. 18 DSGVO Daten, die sie einem Unternehmen auf Grundlage einer Einwilligung offenbart haben, in einem üblichen Dateiformat herausverlangen, um die Daten zu einem anderen Anbieter portieren zu können. Dieses Recht auf Datenübertragbarkeit ergänzt die bisher schon bekannten Rechte auf Auskunft, Berichtigung und Löschung. Gestärkt wird außerdem das Recht der Betroffenen, auch unter Berücksichtigung des „Rechts auf Vergessen“ ursprünglich erfasste Daten wieder zu löschen. Weiter wird der Schutz der Betroffenen dadurch verstärkt, dass eine Einwilligung in eine Datenverarbeitung zukünftig www.brandi.net nur noch über eine bestätigende Handlung („affirmative action“) zulässig ist; über vorausgefüllte Checkboxen kann unter der DSGVO somit keine wirksame Einwilligung eingeholt werden. Was ist beim Einsatz neuer Technologien zukünftig zu beachten? Zukünftig müssen Unternehmen unter gewissen Umständen eine sogenannte „Datenschutz-Folgenabschätzung“ vornehmen, die gem. Art. 33 DSGVO neu eingeführt wird. Mit der Folgenabschätzung sollen Risiken erkannt und bewertet werden, die für Betroffene entstehen, wenn ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung einsetzt. Zur Unterstützung bei der Folgenabschätzung werden die Aufsichtsbehörden voraussichtlich White- und Blacklists für typischerweise verwendete Systeme veröffentlichen. Zudem hat die vom Bundesforschungsministerium eingerichtete Expertenkommission schon jetzt ein Informationspapier erarbeitet, dass den verantwortlichen Stellen helfen soll, die Folgenabschätzung rechtskonform durchzuführen. Welche Änderungen ergeben sich bei Datenweitergabe im Unternehmen und an Dritte? In der DSGVO wird die Auftragsdatenverarbeitung europaweit vereinheitlicht. Die inhaltlichen Anforderungen an eine Vereinbarung zur Auftragsdatenverarbeitung orientieren sich sehr stark an den in Deutschland bereits aus § 11 BDSG bekannten Punkten. Mit der DSGVO wird eine eigene Haftung des Dienstleisters gegenüber dem Geschädigten neu eingeführt, die gem. Art. 77 DSGVO allerdings an weitere Voraussetzungen geknüpft ist. Dies ist dennoch eine Verschärfung der Haftungsregelungen im Vergleich zum BDSG, in dem nur eine Haftung des Auftraggebers vorgesehen ist. Zusätzlich ist der Auftragnehmer zudem gemäß Art. 28 Abs. 2a DSGVO dazu verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen, die für den Auftraggeber aus- Informationen zum Datenschutz I April 2016 geführt werden. Ein solches Verzeichnis über Verfahren im Unternehmen war bisher nur von dem Auftraggeber zu erstellen. In Art. 43 DSGVO werden zudem erleichterte Voraussetzungen für die Datenweitergabe innerhalb einer Unternehmensgruppe festgelegt. Bisher gab es ein solches Konzernprivileg nach dem deutschen Datenschutzrecht nicht. Voraussetzung für das Konzernprivileg ist die Gewährleistung eines angemessenen Datenschutzniveaus, etwa durch verbindliche unternehmensinterne Vorschriften. Muss ich die Datenschutzerklärung auf meiner Homepage anpassen? Bisher ist davon auszugehen, dass sich keine grundlegend neuen Anforderungen an die Datenschutzerklärung von Homepages ergeben. Die aktuellen Anforderungen werden gem. Art. 12 DSGVO lediglich in der Weise ergänzt, dass die Datenschutzerklärung sprachlich ausdrücklich in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ zur Verfügung zu stellen ist. Damit wird die bisherige Anforderung gem. § 13 Telemediengesetz (TMG) an eine „Datenschutzerklärung in allgemein verständlicher Form“ konkretisiert. Zudem wird in Art. 12 Abs. 4a DSGVO in Aussicht gestellt, dass die Europäische Kommission leicht verständliche Symbole entwickelt, die auf Homepages eingebunden werden können, um Nutzer unkompliziert über die Datenverarbeitung zu informieren. Welche Änderungen gibt es bei den Aufsichtsbehörden? Der Pflichtenkreis der Aufsichtsbehörden wird durch die DSGVO erweitert. Kernbereich der Tätigkeit bleibt – wie bisher – die Überwachung und Durchsetzung der datenschutzrechtlichen Vorschriften. Neu gesetzlich normiert sind die Aufklärungs- und Öffentlichkeitsarbeit, nach der Aufsichtsbehörden zukünftig Unternehmen und Privatpersonen über Risiken der Datenverarbeitung und datenschutzrechtskonformes Verhalten informieren sollen. Zukünftig sind in diesen Bereichen also verstärkte Aktivitäten der Behörden zu erwarten. Zusätzlich sollen Unternehmen nicht mehr unter der Aufsicht mehrerer Datenschutzbehörden stehen. Stattdessen soll die Behörde am Sitz der Hauptniederlassung hauptverantwortlich sein. Betroffene können sich mit ihren Anliegen aber stets an ihre lokalen Aufsichtsbehörden in der jeweiligen Landessprache wenden. Durch die DSGVO wird außerdem die Höchstgrenze für Bußgelder erhöht. Diese Obergrenze lag bisher bei 300.000 Euro und beträgt zukünftig bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Wert größer ist. www.brandi.net Was müssen Unternehmen schon jetzt veranlassen? Aktuell sollte noch abgewartet werden, wie die weitere Ausgestaltung der DSGVO vorangeht, insbesondere auch im Hinblick auf nationale Sonderbestimmungen und das Verhältnis zu anderen Vorgaben. Dabei ist auch zu bedenken, dass die finale Fassung der DSGVO bisher noch nicht veröffentlicht wurde. Es können sich daher noch Änderungen zu den bisherigen Erkenntnissen ergeben. Auch wenn aktuell noch keine unmittelbaren Anpassungen erforderlich sind, sollte die weitere Entwicklung in jedem Fall beobachtet werden. Robert Bommel, BRANDI Rechtsanwälte [email protected] Kontakt: BRANDI Rechtsanwälte Partnerschaft mbB Dr. Sebastian Meyer, LL.M. Rechtsanwalt Datenschutzauditor (TÜV) Adenauerplatz 1 33602 Bielefeld Tel.: +49 (0) 521 / 96535 – 812 Fax: +49 (0) 521 / 96535 – 115 Mail: [email protected] Web: www.brandi.net
© Copyright 2024 ExpyDoc
