EU-DSGVO – Inhalt und Anforderungen

Zielsetzung und Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (EU-DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Somit ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Vor allem der verfolgte risikobasierte Ansatz hinsichtlich technisch-organisatorischer Maßnahmen ist dabei hervorzuheben. Die Umsetzung des Datenschutzes war den Mitgliedsstaaten der EU bisher selbst überlassen. Dies führte folglich innerhalb der EU zu einem ungleichen Datenschutzniveau und vielen unterschiedlichen nationalen Regelungen. Die EU-DSGVO soll daher nun einen gemeinsamen Rechtsrahmen schaffen, um das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich zu vereinheitlichen.

Inhalte der EU-DSGVO

Die wichtigsten Inhalte und Änderungen nach der neuen EU-DSGVO sind im Folgenden aufgelistet und erläutert:

Recht auf „Vergessen werden“

Falls es keine legitimen Gründe für eine weitere Speicherung der Daten gibt, werden die Daten der Nutzer auf deren Wunsch hin gelöscht.

„Opt-in“

Nutzer müssen aktiv zustimmen (nicht wie bisher: aktiv widersprechen), wenn persönliche Daten verarbeitet werden.

Recht auf Transparenz

Nutzer dürfen ferner erfahren, welche Daten zu ihnen gesammelt und wie diese verarbeitet werden.

Zugang und Datenportabilität

Der Zugang zu den bei Dritten verarbeitete Daten soll für den Nutzer vereinfacht werden. Zudem ist sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zum anderen übertragen werden können.

Schnelle Meldung

Bei Datenverlust von personenbezogenen Daten müssen Unternehmen des Weiteren so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen (im Regelfall binnen 24 Stunden).

Erweiterter Geltungsbereich

Die EU-DSGVO gilt auch für Unternehmen, die keinen Sitz in der EU haben. Der Geltungsbereich wurde auf alle Unternehmen ausgeweitet, deren Angebot sich an EU-Bürger richtet und die daher personenbezogene Daten von EU-Bürgern verarbeiten.

Widerspruchsrecht

Die betroffenen Personen können insbesondere einer Datenverarbeitung im Zusammenhang mit Direkt-Marketing widersprechen.

Hohe Bußgelder

Bei Verstößen drohen folglich Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes, der im vorangegangenen Geschäftsjahr erzielt wurde.

Jugendliche erst ab 16

Die rechtswirksame Anmeldung bei Online-Services wie Facebook soll Jugendlichen erst ab 16 ermöglicht werden. Nationale Gesetze sollen hierbei jedoch Ausnahmen ermöglichen.

Stärkung nationaler Aufsichtsbehörden

Nationale Datenschutzbehörden dürfen des Weiteren einzelnen Unternehmen verbieten, Daten zu verarbeiten. Außerdem dürfen sie gewisse Datenflüsse stoppen sowie Bußgelder gegen Unternehmen aussprechen. Diese Geldstrafen können dabei bis zu zwei Prozent des jährlichen weltweiten Jahresumsatzes entsprechen.

One-Stop-Shop-Prinzip

Privatpersonen können sich ferner bei Datenmissbrauch an ihre jeweilige nationale Datenschutzbehörde wenden. Ebenso müssen sich Unternehmen nur noch mit der Datenschutzbehörde in Verbindung setzen, in deren Land sie ihren Hauptsitz haben.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Nach der EU-DSGVO besteht grundsätzlich die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. In jedem Fall muss dieser bestellt werden, wenn die Verarbeitung von personenbezogenen Daten den Kern des Geschäftsmodells darstellt.

Risikomanagement

Die EU-DSGVO hat bzgl. technisch-organisatorischer Maßnahmen einen stärkeren risikobasierten Ansatz und erfordert dabei eine Dokumentation der Risikoeinschätzung.

Datenschutzfolgenabschätzung

Die Durchführung einer Datenschutzfolgenabschätzung wird schließlich für besonders risikobehaftete Datenverarbeitungen vorgeschrieben. Der Datenschutzfolgenabschätzung sollte daher ein adäquates Risikomanagement vorausgehen.

Herausforderungen für Unternehmen hinsichtlich EU-DSGVO

Die Unternehmen sollten sich bereits frühzeitig um die Umsetzung der neuen EU-DSGVO kümmern – auch wenn diese erst im Mai 2018 verpflichtend wird. Die Übergangsfrist bis dahin sollte von den Unternehmen genutzt werden, um Anpassungen in ihren Prozessen durchzuführen, da ansonsten mit Sanktionen zu rechnen ist. Im Folgenden sind einige Herausforderungen aufgeführt, die sich für die Unternehmen ergeben. Dies gilt vor allem bzgl. der Prozesse und Dokumente, welche auf Konformität zur EU-DSGVO zu prüfen sind:

  • Risikobewertungen zur Festlegung geeigneter Maßnahmen
  • Einführung/Durchführung der Datenschutzfolgenabschätzung
  • Dokumentation der Datenverarbeitungsprozesse
  • Anpassung der Datenschutzerklärung
  • Einwilligungserklärung (Prozess für Widerruf der Einwilligung)
  • Betriebsvereinbarungen
  • Vereinbarungen zur Auftragsverarbeitung
  • Prozess bei Datenpannen
  • Verfahren für Übertragung von Daten in gängigem elektronischem Format
  • Durchführung von Schulungen zu den Neuerungen der EU-DSGVO für Mitarbeiter
  • Monitoring nationaler Gesetzgebung

„Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten.“

Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswich Inc.

Einsatzmöglichkeiten von ibi systems iris

Mit ibi systems iris haben Sie schließlich das perfekte Werkzeug zur Hand, um die relevanten Bereiche Ihres Unternehmens auf die Anforderungen der EU-DSGVO vorzubereiten. Es besteht des Weiteren die Möglichkeit, die Einhaltung der EU-DSGVO durch Audits zu überprüfen und Schwachstellen festzustellen. Außerdem ermöglicht iris ein umfangreiches Risikomanagement inklusive Dokumentation der Risikobewertung und Festlegung von Maßnahmen.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Ackermann, Astrid (2016): EU-Datenschutz-Grundverordnung: Das sind die Neuerungen, Online im Internet: https://www.datenschutzbeauftragter-info.de/eu-datenschutzgrundverordnung-das-sind-die-neuerungen/, Abfrage: 23.01.2016, 10:27 Uhr.
  • bitkom (2016): Was muss ich wissen zur EU-Datenschutz Grundverordnung: FAQ, Online im Internet: https://www.privacy-conference.com/sites/default/files/160909_EU-DS-GVO_FAQ_03.pdf, Abfrage: 24.01.2017, 11:01 Uhr.
  • Dr. Datenschutz* (2016): 10 Vorteile der EU-Datenschutz-Grundverordnung, Online im Internet: https://www.datenschutzbeauftragter-info.de/10-vorteile-der-eu-datenschutz-grundverordnung/, Abfrage: 23.01.2017, 15:34 Uhr.
  • Hülsbömer, Simon (2016): Ab 2018: Das ist der neue EU-Datenschutz, Online im Internet: http://www.computerwoche.de/a/der-neue-eu-datenschutz-ab-2018-alles-wichtige,3226704, Abfrage: 23.01.2017, 17:05 Uhr.

*Dr. Datenschutz ist ein Pseudonym für Mitarbeiter der intersoft consulting services AG