Am 25. Mai ist Stichtag für die Datenschutzgrundverordnung. Hiervon betroffen sind Unternehmen, Verbände, Bildungseinrichtungen, Unternehmer (Inhaber, Freiberufler, Selbstständige).
Was genau ändert sich überhaupt am 25. Mai?
Alle Datensammler müssen ab Freitag darüber Auskunft geben können, welche personenbezogenen Daten wann, wo, wie, warum und von wem verarbeitet werden. Darüber hinaus müssen sie deren sichere Verarbeitung gewährleisten. Änderungen gibt es weiter bei der Definition personenbezogener Daten, den Erlaubnisgrundlagen, Einwilligungen, Informationspflichten, Betroffenenrechten, Bußgeldern, Rechenschaftspflichten, Verantwortlichkeit von Auftragsdatenverarbeitern, etc.
Was ist Privacy bei Design?
Privacy by Design ist ein Grundsatz, der bereits im Rahmen der Entwicklung (zum Beispiel von Hardware oder Software) zur Beachtung der Datenschutzvorschriften verpflichtet.
Müssen Datenschutzerklärungen geändert werden?
Da Informationspflichten erhöht werden und zum Beispiel Hinweise auf die Rechtsgrundlagen der Verarbeitung enthalten müssen, wird ein Update notwendig.
Was ist die Accountability?
Die Rechenschaftspflicht (Accountability) ist eine zentrale Neuerung der DSGVO und erfordert die unternehmerischen Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie u.U. Datenschutzfolgeabschätzungen zu ergänzen.
Wie sind die Konsequenzen bei Nichtbeachtung?
Die Konsequenzen ändern sich drastisch. Der Bußgeldrahmen wird bis auf 20 Millionen Euro, bzw. vier Prozent des weltweiten Jahresumsatzes erhöht und Datenschutzbehörden werden angehalten, Bußgelder effektiver zu verhängen.
Wird das Datenschutzrecht einfacher?
Damit ist leider weniger zu rechnen, zumal neben der DSGVO auch nationale Datenschutzgesetze (in Deutschland BDSG-Neu) und die EU-ePrivacy-Verordnung (wird wahrscheinlich erst 2019 beschlossen) beachtet werden müssen.
Wie hoch ist der Umsetzungsaufwand?
Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben.
Welche Daten unterliegen besonderem Schutz?
Zu unterscheiden sind sensible und nicht sensible Daten wie Name und eMail-Adresse. Strenge Regeln gelten vor allem für sensible Daten wie Gesundheits- oder biometrische Daten sowie die automatisierte Verarbeitung zur Profilbildung.
Was ist ein Datenschutzbeauftragter und wer braucht diesen überhaupt?
Zwingend vorgeschrieben ist ein Datenschutzbeauftragter für Behörden, öffentliche Stellen sowie Unternehmen, die regelmäßig und systematisch umfangreiche und sensible Datenmengen verarbeiten, z.B. Banken, Versicherungen oder Krankenanstalten. Auf Klein- und Mittelbetriebe trifft dies nur in Ausnahmefällen zu, sie können aber freiwillig einen Beauftragten ernennen. Seine Aufgabe ist es, die Einhaltung der DSGVO zu überwachen, Mitarbeiter zu schulen und mit Behörden zu kooperieren.
Was ist das Recht auf Löschung bzw. das Recht auf Vergessenwerden?
Grundsätzlich dürfen Daten nur so lange gespeichert werden, wie es für den Speicherzweck (z.B. laufende Verträge, gesetzliche Aufbewahrungspflicht) erforderlich ist. Das Recht auf Vergessenwerden schließt auch Suchmaschinen-Einträge mit ein. Wenn die Suchergebnisse zu personenbezogenen Daten verlinken, die unwahr oder veraltet sind, haben Betroffene Anspruch auf Löschung der Suchergebnisse, sofern kein öffentliches Interesse besteht.
Worauf müssen speziell Vereine achten?
Auch sie unterliegen strengeren Dokumentationspflichten. Diese sollen nur jene Daten erheben, die für den berechtigten Zweck (z.B. Bewerb) nötig sind und sie sobald wie möglich wieder löschen, wenn dieser Zweck nicht mehr besteht. Sollten Ergebnislisten im Internet veröffentlicht werden, ist eine Zustimmung nötig.
Wie hoch sind die Strafen und wie streng wird gestraft?
Die Höchststrafe von bis zu 20 Mio. Euro bzw. vier Prozent des Umsatzes drohen nur bei schwerwiegenden Verstößen.