EU-DSGVO

Die neue Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018.

Die neue Datenschutzgrundverordnung (DSGVO)

Die neue Datenschutzgrundverordnung gilt ab dem 25. Mai 2018. Sie wurde zwar bereits am 25. Mai 2016 verabschiedet; bis zum Inkrafttreten dieses Jahr gilt für alle Mitgliedstaaten der EU noch die alte EU-Datenschutzrichtlinie. Die neue Verordnung löst auch das deutsche Bundesdatenschutzgesetz ab und bringt für Privatpersonen wie auch Unternehmen umfangreiche Neuerungen mit sich. 

Allgemeines

Neu geregelt werden insbesondere die rechtlichen Grundlagen der Datenverarbeitung, die Rechte der betroffenen Personen und die Pflichten der Verantwortlichen für die Datenverarbeitung. Erweitert wurden auch die Bußgeldregelungen. Danach lösen Datenschutzmißgeschicke durch die ein Datenschutzrisiko entstehen kann, Meldepflichten der Verursacher an die Aufsichtsbehörde und an die Betroffenen aus. Die Meldepflicht tritt unverzüglich ein und gilt unabhängig von der Art der betroffenen Daten. Außerdem wurden die Bußgelder für Verstöße saftig erhöht und können jetzt bis zu 20 Mio. EUR oder bis zu 4 Prozent des im vorangegangenen Geschäftsjahr erzielten Jahresumsatzes des verantwortlichen Unternehmens betragen. Erschwerend kommt hinzu, dass die Aufsichtsbehörden gehalten sind den jeweils höheren Betrag zu verlangen. 

Geltungsbereich der DSGVO

Die Datenschutzgrundverordnung gilt mit Inkrafttreten für alle Mitgliedstaaten der Europäischen Gemeinschaft. Darüberhinaus gilt sie auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn die Betroffenen der Datenverarbeitung EU-Bürger sind. Damit sind z.B. auch weltweit agierende Unternehmen wie Facebook und Google betroffen.

Rechtsgrundlagen der Datenverarbeitung

An der bisherigen Rechtgrundlage für die Datenverarbeitung ändert sich im Prinzip nicht viel. Es gilt weiterhin das Verbotsprinzip mit Erlaubnisvorbehalt. Danach ist die Datenverarbeitung nur zulässig, wenn ein gesetzlicher Erlaubnistatbestand oder die Einwilligung des Betroffenen vorliegt. Die Regelungen zur Einwilligung wurden aber erweitert. Die Einwilligung kann nach neuem Recht sowohl schriftlich, mündlich, elektronisch oder durch konkludente Handlung erfolgen. Konkludentes Handeln setzt allerdings voraus das sich der Betroffene aktiv erklärt. Ein stillschweigendes Einverständnis genügt nicht. Des Weiteren muss die Einwilligung freiwillig, eindeutig und jederzeit ohne Begründung wiederufbar sein. Die Verarbeitung von bereits nach altem Recht als besonders sensibel geltenden Daten, wie zum Beispiel Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheit und Sexualleben, etc., ist nur rechtmäßig, wenn die Einwilligung sich ausdrücklich auf diese Angaben bezieht. Des Weiteren wurde das Mindestalter für Einwilligungen durch Minderjährige auf 16 Jahre festgesetzt. 

Personenbezogene Daten dürfen auch bei Vorliegen folgender gesetzlicher Erlaubnistatbestände verarbeitet werden:

  • zur Erfüllung vertraglicher- und vorvertraglicher Pflichten 
  • zur Erfüllung rechtlicher Pflichten
  • zum Schutz lebenswichtiger Interessen
  • zur Wahrnehmung von Aufgaben im öffentlichen Interesse 
  • zur Wahrung berechtigter Interessen des Unternehmens

Beim letzten Erlaubnistatbestand ist neu, dass die Verarbeitung nicht nur zweckmäßig, sondern auch erforderlich sein muss und die berechtigten Interessen der betroffenen Personen nicht entgegenstehen. Die berechtigten Interessen des Betroffenen und der datenverarbeitenden Stelle müssen gegeneinander abgewogen werden, wobei die Datenverarbeitung nur zulässig ist, wenn die schutzwürdigen Interessen des Betroffenen die Interessen der datenverarbeitenden Stelle nicht überwiegen.

Rechte der Betroffenen

Die grundsätzlichen Rechte der Betroffenen sind nach altem wie auch nach neuem Recht im Wesentlichen, das Informationsrecht, das Auskunftsrecht,das Recht auf Löschung oder auch Recht auf Vergessen. Sie wurden lediglich angepasst bzw. erweitert.

Künftig müssen datenverarbeitende Stellen die Kontaktdaten des Verantwortlichen, den Zweck und die Dauer der Datenverarbeitung mitteilen. Des Weiteren sind die Betroffenen über bestehende Auskunfts-, Widerspruchs- und Löschrechte, die Rechtsgrundlage der Datenverarbeitung und über das Ergebnis der Interessenabwägung zu informieren. Die Information kann mündlich, schriftlich oder auch elektronisch übermittelt werden, muss aber sofort bei Datenerhebung erfolgen. 

Der Betroffene selbst kann Auskunft über Zweck und Art der Datenverarbeitung und über den Empfänger verlangen. Betroffene können außerdem die unverzügliche Berichtigung unrichtiger Daten oder Löschung nicht mehr notwendiger Daten verlangen. Weitere Gründe für eine Löschung sind unrechtmäßige Verarbeitung oder Widerruf der Einwilligung.

Pflichten der Verantwortlichen

Diese sind im wesentlich mit der Ernennung eines Datenschutzbeauftragten abgegolten, da die Unternehmerpflichten an ihn übertragen werden. Dazu gehören hauptsächlich die Überwachung der Einhaltung der Vorgaben der DSGVO, der Datenschutzstrategien, die Datenschutz-Folgenabschätzung und die Risikobeurteilung. Der DSB kann auch weitere datenschutzrechtliche Aufgaben übernehmen. Der Verantwortliche muss aber sicherstellen, dass die Pflichten des DSB nicht zu einem Interessenkonflikt führen.
 

Lösungen

Wir vervollständigen Ihre Datensicherheit.

Mit Cloony.co sind Sie auf der sicheren Seite und für jede datenschutzrelevante Situation im E-Mail Marketing vorbereitet.

Kundendaten Überwachung

Mehr erfahren

Missbrauchs Monitoring

Mehr erfahren

Beweissicherung

Mehr erfahren

Präventivschutz

Mehr erfahren

Notfallpaket

Mehr erfahren

Forensik Erweiterung

Mehr erfahren

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Mehr Infos