Datenschutzberatung

"Das Recht auf informationelle Selbstbestimmung heißt ja nur, dass die Bürger informiert werden müssen, wer wann was von ihnen speichert."

Brigitte Zypries

Auswirkungen der EU-DSGVO

Das Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) bringt viele neue Regelungen mit, die beachtet und umgesetzt werden müssen, um sich nicht der Gefahr hoher Bußgelder auszusetzen. Nachstehend werden einige dieser Regelungen beschrieben.

Richtet sich ein Angebot (Produkt oder Dienstleistung) an einen bestimmten Markt der EU gilt nicht wie bisher das Sitzlandprinzip. Dieses wurde für die neue Marktorientierung aufgegeben (Art. 3 Abs. 2 EU-DSGVO). Jetzt gilt das Prinzip des "One-stop-Shop" (Art. 56 EU-DSGVO). Der Betroffene muss sich nicht mehr an die Hauptniederlassung des Unternehmens wenden. Bei Beschwerden kann er sich immer an die Datenschutzaufsichtsbehörde an seinem Wohnsitz wenden.

Technische und organisatorische Maßnahmen (TOM) müssen zum Schutz der Daten implementiert werden und dem Stand der Technik entsprechen.

Bei der Datenverarbeitung muss gewährleistet sein, dass die Standardeinstellungen so gestaltet sind, dass nur die personenbezogenen Daten zu verarbeiten sind, die für den konkreten Zweck erforderlich sind. Dies betrifft auch den Umfang der erhobenen Daten, die Verarbeitung, die Speicherfrist und die Zugänglichkeit (Privacy by design and by default)

Personenbezogenen Daten müssen transparent und nach Treu und Glauben verarbeitet werden.

Unternehmen haben umfangreiche Meldepflichten gegenüber den Behörden und Betroffenen bei Datenschutzverletzungen zu beachten.

Betroffenen können gegen Unternehmen ein Recht auf Vergessen geltend machen, woraufhin ihre Daten zu löschen sind (Ausnahmen für das "Sperren" der Daten sind möglich).

Es gilt das Recht der Datenportabilität (z.B. bei einem Anbieterwechsel)

Bei einer Datenübermittlung in Drittstaaten ist zu prüfen und ggf. nachzuweisen, ob dort ein angemessenes Datenschutzniveau herrscht

Datenverarbeitung von personenbezogenen Daten sind explizit zu dokumentieren.

In manchen Fällen muss eine Datenschutz-Folgenabschätzung (sog. privacy impact assessment) vor der Implementierung von Datenverarbeitungsprozessen durchgeführt werden.

Ein Datenschutzbeauftragter ist zu benennen, wenn die Kerntätigkeit eines Unternehmens in der Datenverarbeitung liegt oder besondere Kategorien personenbezogener Daten verarbeitet werden.

Bei der Verarbeitung personenbezogener Daten muss immer eine Rechtsgrundlage nachgewiesen werden können, auf der die Verarbeitung erfolgt.

Die Sanktionen sind drastisch erhöht worden und wer personenbezogene Daten unrechtmäßig verarbeitet oder verarbeiten lässt (Rechtsverstöße), kann mit einem Bußgeld von bis zu 20.000.000 Euro (oder bis zu 4% vom letzten Jahresumsatz, falls dieser Wert höher ist) geahndet werden!

Datenschutz-Audit

Überprüfen Ihres Datenschutzniveaus

mehr erfahren...

Verarbeitungsverzeichnis

Dokumentation Ihrer Datenschutzmaßnahmen

mehr erfahren...