Matthias Weber
Datenschutzbeauftragter
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, kurz EU-DSGVO, trat mit einer zweijährigen Übergangsfrist vom 25. Mai 2016 bis zum 25. Mai 2018 an diesem Tage in Kraft und löste damit die teils vorhandene nationale Gesetzgebung zum Thema Datenschutz ab.
Ziel der neuen EU-DSGVO ist es innerhalb der Europäischen Union ein gleichwertiges und einheitliches Datenschutzniveau zu gewährleisten, da in den einzelnen EU-Mitgliedstaaten verschieden ausgeprägte Datenschutzgesetze in Kraft waren. Mit zunehmender Digitalisierung sah sich das Europäische Parlament und der Rat dazu gezwungen EU-weit einheitliche Regelungen zu schaffen, um den Schutz personenbezogener Daten zu gewährleisten.
Jeder Verantwortliche hat nun ein Verzeichnis seiner Verarbeitungstätigkeiten zu erstellen und zu führen. Darin sind alle wertschöpfenden und administrativen Prozesse zu dokumentieren, gemäß Art. 30 Abs. 1 S. 1 EU-DSGVO. Dabei regelt Art. 30 Abs.1 1 S. 2 lit. a bis g EU-DSGVO welchen Inhalt ein jeder Prozess haben muss. Die Summe aller Prozesse im Unternehmen bildet dann das Verzeichnis von Verarbeitungstätigkeiten.
Zudem muss jetzt auch der Auftragsverarbeiter ein entsprechendes Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 EU-DSGVO erstellen.
Des Weiteren gibt es für die Erstellung von entsprechenden Verzeichnissen Ausnahmen. Unternehmen mit weniger als 250 Mitarbeitern sind befreit, sofern die Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birg, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 9a einschließt.
Der Verantwortliche muss gemäß Art. 12 bis 14 EU-DSGVO dem Betroffenen entsprechend transparent informieren, was für personenbezogene Daten er von dem Betroffenen hat, wo er sie herhat und was er damit vorhat. Diese Angaben ergeben sich aus Art. 13 EU-DSGVO, wenn die personenbezogenen Daten vom Betroffenen selbst kommen und aus Art. 14 EU-DSGVO, wenn die personenbezogenen Daten des Betroffenen von einem Dritten kommen.
Der Verantwortliche muss seine Dokumente entsprechend anpassen oder neu erstellen.
Mit der Einführung der EU-DSGVO wurde auch das Verhältnis der Auftragsverarbeitung zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsverarbeiter (Auftragnehmer) neu geregelt. Die Anforderungen richten sich nun nach Art. 28 und 29 EU-DSGVO. Dazu bedarf es nun einen Auftragsverarbeitungsvertrag (kurz AVV) zwischen den beiden Parteien. Dieser AVV ist zwingend erforderlich, da sonst bei keinem datenschutzkonformen AVV ein Bußgeld seitens der Aufsichtsbehörden drohen kann.
Grundsätzlich sind auch beide für den Abschluss eines AVV verantwortlich und haften bei Nichteinhaltung auch entsprechend gesamtschuldnerisch.
Die Sicherheit der Verarbeitung ist in Art. 32 EU-DSGVO geregelt. Danach muss jeder Verantwortliche technische und organisatorische Maßnahmen (kurz TOMs) nach dem Stand der Technik und unter Berücksichtigung seiner wirtschaftlichen Leistungsfähigkeit implementieren, welche den Schutz der personenbezogenen Daten gewährleisten sollen. Diese Maßnahmen sind ebenfalls zu dokumentieren.
Grundsätzlich sollte zuerst eine Schutzbedarfsfeststellung erstellt werden, wobei die einzelnen Datenkategorien nach Vertraulichkeit, Integrität und Verfügbarkeit evaluiert werden. In einem zweiten Schritt sollte dann ein Riskmanagement die Eintrittswahrscheinlichkeit und die Auswirkungen einschätzen. Als letzten Schritt sollten dann die TOMs sowohl das Ergebnis der Schutzbedarfsfeststellung als auch das Ergebnis des Riskmanagements widerspiegeln.
Die Überprüfung der Einhaltung der EU-DSGVO obliegt den unabhängigen Aufsichtsbehörden nach Art. 51 ff EU-DSGVO. Für jedes Bundesland ist eine Aufsichtsbehörde zuständig, außer für Bayern, das zwei Behörden hat (getrennt nach öffentlichem und nichtöffentlichem Zuständigkeitsbereich), sowie eine Bundesbehörde.
Die Rechte der Aufsichtsbehörden wurden gestärkt. So dürfen diese unangemeldete Vorortkontrollen durchführen und Einsicht in alle Büroräumlichkeiten erhalten. Zudem dürfen Sie Anordnungen zur Beseitigung von Datenschutzverstößen und Bußgelder erlassen.
Grundsätzlich kann jeder Verstoß gegen die Regelungen der EU-DSGVO mit einem Bußgeld geahndet werden. Wann genau ein Bußgeld erlassen wird und wann nicht, liegt in dem Ermessen der jeweiligen Aufsichtsbehörde.
Die Höhe des Bußgeldes wird nach einem neu eingeführten Bußgeldverfahren erhoben, welches die Aufsichtsbehörden beschlossen haben, damit innerhalb Deutschlands einheitliche Bußgelder erhoben werden.
Damit soll vermieden werden, dass für ein und denselben Verstoß in den Bundesländern unterschiedliche Bußgelder erhoben werden.
Die maximale Höhe der Bußgelder liegt bei 20 Millionen Euro oder 2% des weltweiten Umsatzes des Vorjahres pro Verstoß. Je nachdem, ob der die 20 Millionen Euro oder der 2%ige Umsatz höher ist.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!