Datenschutz-Grundverordnung – was sich ab Mai 2018 ändert
Ab 25. Mai 2018 ersetzt die Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG). Dieses existiert nur noch als Ergänzung der Verordnung weiter, die ein in der gesamten Europäischen Union identisches, neues Datenschutzrecht schafft.
Die wichtigste Neuigkeit für Deutschland ist die Entschlossenheit der EU, die Einhaltung der neuen Regeln durchzusetzen: Die potentiellen Bußgelder sind hoch und die Beweislast für die Einhaltung der Regeln liegt beim jeweiligen Verantwortlichen. Die Dokumentation der eigenen Aktivitäten zur Herbeiführung der „Compliance“ ist also unerlässlich.
Welche Maßnahmen sind in jedem Fall zu prüfen?
Hier nur die wichtigsten Punkte:
- Informationspflichten
Schon nach dem BDSG waren Betroffene über Datenverarbeitungen und Übermittlungen zu informieren, über die sie sonst nichts gewusst hätten.
Neu ist, dass nun generell bestimmte Informationen (z.B. Kontaktdaten des Verantwortlichen und (ggf.) Datenschutzbeauftragten) mitgeteilt werden müssen, es sei denn der Betroffene kennt die Information schon oder die Mitteilung ist unverhältnismäßig aufwändig (Art. 13/14 DSGVO). Neu sind auch viele Einzelheiten der Auskunfts-, Berichtigungs- und Löschpflichten bei entsprechendem Verlangen des Betroffenen (z.B. das „Recht auf Vergessen“ oder das „Recht auf Datenübertragbarkeit“) und Informationspflichten bei einem Datenschutzverstoß. Die gesamten Informations- und Kommunikationsprozesse rund um den Datenschutz müssen daher überarbeitet werden.
- Datenschutzbeauftragter
Schon das BDSG sieht eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten vor, wenn mehr als 9 Personen mit personenbezogenen Daten arbeiten.
Neu ist die generelle Bestellungspflicht bei besonders sensiblen Datenverarbeitungen und die Pflicht, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Datenschutzbehörde mitzuteilen (Art. 37 ff DSGVO).
- Verzeichnis der Verarbeitungstätigkeiten und der Maßnahmen zum Datenschutz
Eine Dokumentation des Umgangs mit personenbezogenen Daten (Verfahrensverzeichnis) sieht schon das BDSG vor.
Neu ist die Regelung der Inhalte dieses Verzeichnisses (Art. 30 DSGVO), aber vor allem, dass es durch die Beweislast des Verantwortlichen eine zentrale Rolle beim Nachweis der Einhaltung der Datenschutzbestimmungen bekommt.
- Auftragsverarbeitung
Die Übertragung der Verarbeitung von Daten ohne einen Wechsel der Verantwortung (Auftragsdatenverarbeitung) sah bereits das BDSG vor.
Neu ist, dass der Auftragnehmer nun „Auftragsverarbeiter“ heißt und sich die Regeln für den abzuschließenden Vertrag in vielen Punkten ändern. Wer als oder mit einem Auftragsverarbeiter arbeitet, muss mindestens die Vertragsbedingungen, eventuell auch die Verarbeitungsprozesse selbst, gründlich überarbeiten.
- Übermittlung von Daten ins (Nicht-EU-) Ausland
Auch die DSGVO erlaubt die Übermittlung von Daten in Drittländer, für die ein „angemessenes Schutzniveau“ amtlich festgestellt wurde.
Neu ist die Regelung zu den „geeigneten Garantien“ für den Datenschutz dort, wo es an dieser Feststellung fehlt. Wer Daten z.B. in die USA übermittelt, wird die im Nachgang des „safe-harbour“-Urteils des EuGH schon in Gebrauch genommenen „Standardvertragsklauseln“ und verbindlichen Unternehmensregeln („binding corporate rules“) im Gewand von „Standarddatenschutzklauseln“ und „verbindlichen internen Datenschutzvorschriften“ wiederfinden.
Weitere Änderungen, wie die neuen Vorgaben für „technische und organisatorische Maßnahmen“ oder neue Werkzeuge wie „genehmigten Verhaltensregeln“ hier zu erörtern, würde den Rahmen sprengen.
Wir laden Sie daher ein zu einem
„Workshop on Demand“ zur Datenschutzgrundverordnung
am 21. Februar ab 15 Uhr in unserer Kanzlei in Karlsruhe sowie je nach Bedarf zu weiteren Terminen im März oder April in Karlsruhe oder Berlin.
Wir erheben einen Unkostenbeitrag von 200 € zzgl. Mwst pro Teilnehmer (Ausnahmen sind möglich). Bitte melden Sie sich bei Interesse per Email unter info@nuemann-siebert.com.
Wenn Sie die nötigen Änderungen in Ihrem Betrieb direkt angehen wollen, bieten wir auch In-House-Workshops an. Bitte kommen Sie zur Absprache des Zuschnitts und Termins sowie der Kosten auf uns zu.