Daten

Jetzt die EU-DSGVO in Angriff nehmen

Seite: 2/2

Firma zum Thema

Was sind die wesentlichen Kernpunkte der DSGVO?

Der Accountability-Ansatz: Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Ansonsten drohen Bußgelder und möglicherweise Schadensersatzpflichten gegenüber Betroffenen. Mit der Einführung eines Datenschutzmanagementsystems ist die Nachweis-Pflicht professionell zu meistern, erhebliche Haftungsrisiken lassen sich gleich von Beginn an vermeiden. Außerdem spielt die Erfüllung der Rechenschafts- und Dokumentationspflicht bei Prüfungen durch die Aufsichtsbehörden oder Prüfdienstleister eine wichtige Rolle.

Verschärfte Bußgelder: Im Gegensatz zur bisherigen Rechtslage ist für die große Mehrheit der Vorschriften in der DSGVO, die Pflichten für datenverarbeitende Stellen begründen, die Möglichkeit einer Geldbuße vorgesehen. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens gegenüber dem bisherigen Maximalbetrag von 300.000 Euro: Bei Verstößen sind nun Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes möglich. Gehört das sanktionierte Unternehmen zu einer Unternehmensgruppe bzw. einem Konzern, ist bei der Bußgeldbemessung der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns maßgeblich.

Bildergalerie

Die Datenschutz-Folgenabschätzung: Das bisherige Instrument der „Vorabkontrolle“ weicht dem Konzept der Datenschutz-Folgenabschätzung (DSFA). Hier gilt: Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen. Entgegen der Auffassung einiger Juristen ist die DSFA nicht nur für neue Verarbeitungsvorgänge relevant. Datenverarbeitenden Stellen wird daher geraten, eine Folgenabschätzung auch für bestehende Verarbeitungen durchzuführen, sofern ein „hohes Risiko“ besteht. Die durchgeführten Risikobewertungen müssen nachvollziehbar dokumentiert werden.

Privacy by Design und Privacy by Default: Datenschutz muss integraler Bestandteil der Entwicklung von Produkten, Diensten oder Anwendungen sein. Maximaler Datenschutz muss „serienmäßig“ sein und nicht mehr die Option, die der Betroffene aktiv anwählen muss. Wichtig ist, dass insbesondere die „Privacy by Design“-Anforderungen die verantwortlichen Stellen treffen und nicht die Hersteller von Produkten, Diensten und Anwendungen.

Die Löschpflichten: Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, müssen Unternehmen zukünftig weitere Schritte unternehmen. Im Rahmen des neuen „Rechts auf Vergessenwerden“ müssen Dritte, die veröffentlichte Daten verarbeiten, identifiziert und sodann über das Löschbegehren informiert werden. Jedes Unternehmen sollte für seine Datenverarbeitungsprozesse also ein klares Löschkonzept vorweisen können.

Technische und organisatorische Maßnahmen (TOMs): Schwachstellen bei der technisch-organisatorischen Datensicherheit sind in der DSGVO bußgeldbewehrt, und zwar mit bis zu 2 Prozent des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Darüber hinaus müssen die TOMs dem „Stand der Technik“ entsprechen und damit stärker als bisher technischen Innovationen Rechnung tragen. Nützliche Best-Practice-Hinweise gibt die TOM-Liste nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Datenportabilität: Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben und auf Wunsch direkt an ein anderes Unternehmen übermitteln können.

Datenschutzbeauftragter: Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Darüber hinaus können künftig auch solche Unternehmen betroffen sein, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Die erweiterte Bestellpflicht kann beispielsweise ärztliche Gemeinschaftspraxen oder mit genetischen Analysen befasste Labors treffen, auch wenn diese unter der 10-Personen-Grenze liegen und daher bisher keinen Datenschutzbeauftragten benennen mussten.

Zertifizierung: Die DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der DSGVO vollumfänglich eingehalten werden. Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.

* Tilman Dralle, Thomas Werner, TÜV Rheinland

(ID:44755999)