Hecht

Rechtsanwaltskanzlei

20. Juni 2017    Datenschutz – Europäische Datenschutz-Grundverordnung EU-DSGVO verbindlich ab 25. Mai 2018

 

Am 25. Mai 2018 wird die EU Verordnung 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (sogen. Datenschutz-Grundverordnung) unmittelbar geltendes Recht in allen  Mitgliedstaaten  der Europäischen Union sein. Damit werden gleichzeitig die bisher gültige EU-Datenschutz-Richtlinie 95/46/EG sowie größtenteils auch das Bundesdatenschutzgesetz (BDSG) aufgehoben. Der Bundestag hat zur Anpassung des BDSG am 24. Februar 2017 einen Gesetzesentwurf (BT-Drs. 18/11325) verabschiedet.


Für Unternehmen ergeben sich insbesondere folgende neue Pflichten aus der EU-DSGVO :


1. Meldepflichten

Art. 33 EU-ESGVO schreibt vor, dass Datenschutzverletzungen möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden sind. Ferner sind nach Art. 34 in bestimmten Fällen, insb. bei hohem Risiko von Persönlichkeitsverletzungen auch die von der Datenschutzverletzung Betroffenen zu informieren.

 

2. Recht auf Vergessenwerden

Der Europäische Gerichtshof hat in seiner Entscheidung vom 13. Mai 2014 das Recht von Personen auf Entfernung von sie betreffenden Links in Suchmaschinen gestärkt. Nach Art. 17 EU-DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen bei bestimmten Gründen zu verlangen, dass personenbezogene Daten unverzüglich gelöscht werden. Alle Personen deren Daten offengelegt wurden, sind über die Löschung zu informieren (Art. 19).


3. Technischer Datenschutz

Nach Art. 24 EU-DSGVO haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren. Die Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) sowie durch datenschutzfreundliche Voreinstellungen (Privacy by Default) sind nach Art. 25 zu beachten. Art. 30 schreibt weiter die Führung eines Verzeichnisses von Verarbeitungstätigkeiten vor, in dem u.a. die Namen und die Kontaktdaten der für die Datenverarbeitung Verantwortlichen sowie der Zweck der Verarbeitung aufzunehmen sind.

 

4. Datenschutz-Folgenabschätzung ("Big Data")

Sobald eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen. Dabei handelt es sich bspw. um eine systematische und umfassende Bewertung persönlicher Aspekte des Handelns von Personen ("Profiling"), der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder der systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche.


5. Benennung eines Datenschutzbeauftragen

Artikel 37 EU-DSGVO schreibt die Pflicht zur Benennung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen mit Dokumentations- und Nachweispflichten vor.


6. Haftung

Die zivilrechtliche Haftung sowie auch Bußgeldandrohungen (Art. 83 EU-DSGVO) sind wesentlich verschärft worden.


Gerne beraten wir Sie zu den Pflichten Ihres Unternehmens. Auch können Sie uns zum externen Datenschutzbeauftragen Ihres Unternehmens bestellen. Schreiben Sie uns eine Email.


weiterführende Links:

Wortlaut der EU-DSGVO (ABl.  L  119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) : Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 

Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung : BT-Drucksache 18/11325 vom 24.02.2017

Der EuGH zum Recht auf Vergessenwerden : EuGH-Entscheidung Gz. C-131/12 vom 13. Mai 2014

Kronenstraße 3     10117 Berlin     Telefon: 030 23575623      E-Mail: hecht@online.de

Impressum      Datenschutzerklärung