Neu: EU-Datenschutzrecht

Seit 25. Mai 2018 gilt das neue europäische Datenschutzrecht für alle Mitgliedstaaten
 
Die Bundesregierung hat nach 40 Jahren am 27.4.2017 das neue Bundesdatenschutzgesetz verabschiedet
 
Bei Verstößen gegen das neue Datenschutzrecht drohen Bußgelder bis zu 20 Mio. € oder 4% des Konzernjahresumsatzes Auch Auftragsdatenverarbeiter/Subunternehmer sind betroffen, für sie gelten ebenfalls weitreichende Neuerungen.
 
Hier gehts gleich zu den Kontrollen aktuellen und beabsichtigten Kontrollen der Bayerischen Datenschutzaufsichtsbehörde LDA.
 

Was ist NEU ?

 

NEU Kategorisierung Datenschutzrelevanter Prozesse und Dokumentation durch das Unternehmen selbst
=> Führen eines Verfahrensregisters - alle datenschutzrelevanten Vorgänge müssen registriert werden.

 

NEU Datenschutzfolgenabschätzung (DSFA)
=> Das Unternehmen muss selbst eine Risikobewertung vornehmen, wieweit Prozesse oder Projekte Auswirkungen auf den Datenschutz im Unternehmen haben; insbesondere bei Verwendung neuer Technologien. Unternehmen hat neuerdings eine Meldepflicht ggü. der Datenschutz-Behörde.

 

Wann ist das der Fall:

Kriterien für eine Datenschutz-Folgenabschätzung


EU-Liste (nicht rechtsverbindlich) für Kriterien, wann eine Pflicht zur DSFA angenommen wird, insbesondere bei folgenden Datenverarbeitungsvorgängen (idR 2 Kriterien müssen erfüllt sein):

 

  • Daten zur Bewertung, zum Scoring oder zum Profiling, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort
  • Formen automatisierter Entscheidungsfindung mit rechtlichen Folgen
  • Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten
  • umfangreiche Verarbeitungsvorgänge
  • zusammengeführte oder kombinierte Datensätze
  • Daten schutzbedürftiger Personen wie Kindern, älteren Menschen, Patienten oder Mitarbeitern
  • Nutzung neuer Technologien wie IoT-Entwicklungen
  • Datentransfers außerhalb der EU
  • Datenverarbeitung kann dazu führen, dass ein Betroffener ein Recht nicht ausüben oder einen Vertrag nicht schließen kann (zB Prüfung auf Kreditwürdigkeit)

 

Wer eine DSFA nicht durchführt, obwohl er dazu verpflichtet war, riskiert Geldbußen von bis zu 10 Mio. € Euro oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes. Im Zweifel sollte deshalb eine Datenschutz-Folgenabschätzung durchgeführt und entsprechend dokumentiert werden.

 

NEU weite Informations-/Rechenschafts-/Meldepflichten der Unternehmen
zB kurze Meldepflicht bei DS-Verletzungen: idR nur 72 Stunden Zeit, sonst Bußgeld; DSFA.
Stärkere Informationspflicht über den Umfang der Datenverarbeitung für Betroffene und neue Informationspflichten, zB zur Rechtsgrundlage der Datenverarbeitung oder der Speicherdauer.
Dies hat Auswirkungen auf Einwilligungstexte, AGB und Datenschutzerklärungen müssen angepasst werden.

 

NEU Beweislastumkehr für Arbeitgeber
Der Arbeitgeber muss Einhaltung der datenschutzrechtlichen Vorgaben beweisen.

 

NEU Sonderregelungen
Sonderregelungen , zB Datenschutz am Arbeitsplatz, Videoüberwachung oder Profiling.

 

NEU weitere Einbindung des Datenschutzbeauftragten
insbesondere bei:

  • Beschwerden von Betroffenen (Mitarbeitern, Kunden)
  • Einführung eines neuen Systems/Tools
  • Einsatz eines neuen Dienstleisters
  • Werbemaßnahmen (z.B. Versand von Newsletter)
  • Onlinemarketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
  • Verkauf von Teilen des Unternehmens

 

NEU Änderungen in der Auftrags(daten)verarbeitung
=> Geeignetheit: Auftragsverarbeiter muss hinreichend Garantien für geeignete technische und organisatorische Maßnahmen bieten, zB genehmigte Verhaltensregeln des Auftragsverarbeiters nach Art. 40 DS-GVO oder Zertifizierungen nach Art. 42 DS-GVO. Dann auch außerhalb EU-/EWR-Raum zulässig.

‚joint control‘ Auftragsverarbeitungs-Auftraggeber und Auftragsverarbeiter haften gemeinsam; weitreichende gegenseitige Pflichten.

Geldbußen bis zu 10 Mio.€ oder 2% des Konzernjahresumsatzes.


Schadensersatzansprüche (Schmerzensgeld) auch wegen Nichtvermögensschäden – Klagerecht Verbraucher und Verbände.
Neuerdings ist auch die Funktionsübertragung im Konzern als Auftragsverarbeitung erfasst.

 

NEU kleines Konzernprivileg
=> Datenübermittlung im Konzernverbund: jede Konzerngesellschaft wird als externe Stelle betrachtet, doch bei berechtigtem Interesse ist die Datenübermittlung zulässig (kleines Konzernprivileg).

 

NEU neue Anforderungen an die Datenübermittlung an Drittstaaten


Drittland muss ein angemessenes Datenschutzniveau haben:


- Beschluss der Europäischen Kommission
- Genehmigung von der zuständigen Aufsichtsbehörde
- Unterwerfung unter europäische Verhaltensregelungen

Informationspflichten des Unternehmens, dass es die Daten an ein Drittland senden wird und auf welche Rechtsgrundlage es sich bei diesem Datentransfer beruft.


Auch Unternehmen, die ihren Sitz außerhalb haben, aber mit Daten von Unionsbürgern arbeiten, fallen unter den Schutz der DSGVO (Facebook, Google).

 

NEU EINWILLIGUNGSERKLÄRUNGEN
Bei Einwilligungserklärungen wird die Verarbeitung aufgrund überwiegender Interessen weniger möglich sein => bestehende Verarbeitungsgrundlagen müssen geprüft und die Einwilligungserklärungen ggf. erneuert werden.