Das neue Datenschutzrecht EU-DSGVO – wir helfen Ihnen

Alle sprechen momentan über das neues Datenschutzrecht (EU-DSGVO). Einige wollen die Unsicherheiten nutzen, um Panik zu verbreiten und Unternehmen dazu drängen, jetzt ganz schnell einen internen oder noch besser einen externen Datenschutzbeauftragten (DSB) zu „bestellen“ (ab 25. Mai 2018 ist korrekt „benennen“). Dabei herrscht bei vielen gefährliches Halbwissen. Nutzen Sie unsere Datenschutz-Analyse, um sich Klarheit zu verschaffen!

Wir helfen Ihnen dabei

  • sich mit dem Regelungswerk der EU-DSGVO vertraut zu machen
  • Ihren individuellen Anpassungsbedarf zu ermitteln (Datenschutz-Analyse)
  • sofern nötig, ein Verarbeitungsverzeichnis zu erstellen
  • die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene zu überblicken
  • sofern nötig, einen externen Datenschutzbeauftragten zu stellen bzw. Scheinbenennungen und Interessenskonflikte zu vermeiden

Aktuell lesen wir sehr oft davon, dass am 25. Mai 2018 die EU-DSGVO sprich die europäische Datenschutzgrundverordnung in Kraft tritt. Soweit so richtig. Fast niemand spricht davon, dass gleichzeitig das „neue BDSG“ sprich das Datenschutzanpassungs- und umsetzungsgesetz (DSAnpUG-EU) in Kraft tritt und damit die BDSG Novelle III aus 2009 sowie die EG-Datenschutzrichtlinie (95/45/EG) ablöst.

Die EU-DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen umfasst 260 Seiten und ist deutlich umfangreicher, als das bisherige BDSG (in der Novelle III) bzw. das neue DSAnpUG-EU. Zudem richtet die EU-DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene zusätzlich bestimmte Regeln auszugestalten (sog. Öffnungsklauseln). Genau dies wurde mit dem DSAnpUG-EG in nationales Recht umgesetzt.

Wer also nur die EU-DSGVO im Blick hat, kann zu falschen Schlüssen kommen.

Hierzu ein Beispiel:

In der EU-DSGVO wird in Bezug auf die Benennungspflicht eines Datenschutzbeauftragten im Gegensatz zum BDSG in der Novelle III nicht mehr von einer Mindestanzahl von Mitarbeitern gesprochen. Man könnte also den Eindruck gewinnen, dass nun alle einen DSB benennen müssen. Liest man jedoch ergänzend zu Artikel 37 Abs. 1 b) und c) EU-DSGVO den §38 Abs. 1 DSAnpUG-EU findet man den Passus „… in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung von pbD beschäftigen…“. Entwarnung? Leider nicht. Dies gilt nur, wenn der Verantwortliche z.B. keine Datenverarbeitungen vornimmt, die einer Datenschutzfolgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen. Eine Datenschutzfolgeabschätzung ist nach Artikel 35 Abs. 3 lit. b) insbesondere dann erforderlich, wenn es eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Abs. 1 EU-DSGVO gibt. Dazu gehören unter anderem auch Gesundheitsdaten.

Es könnte Sie also treffen, wenn Sie BU- oder Krankenversicherungen vermitteln und Kopien oder Scans der Anträge in Ihrem MVP archivieren oder den Kunden in Ihrer Dokumentation bzw. im Beratungsprotokoll bestätigen lassen, dass es wegen einer Vorerkrankung zu einem Risikozuschlag oder zu einem Leistungsausschluss kommt.

Was gilt nun? Muss ich jetzt einen Datenschutzbeauftragten benennen und den Aufsichtsbehörden melden, oder nicht?

Unsere Antwort: kommt darauf an und hängt immer vom Einzelfall ab! Unabhängig von einer Benennungspflicht müssen Sie aber auf jeden Fall die neuen Vorschriften aus EU-DSGVO und DSAnpUG-EG beachten, um nicht Gefahr zu laufen, empfindliche Bußgelder zu riskieren.

Lassen Sie uns einfach darüber sprechen, was Sie in Ihrer individuellen Situation jetzt tun müssen.

 

Datenschutzbeauftragter

Oliver Petersen

geprüfter betrieblicher & behördlicher Datenschutzbeauftragter
(Fachkundiger gem. Artikel 37 EU-DSGVO und §38 DSAnpUG-EG)

KONTAKT

 

Posted in Consulting, DSGVO and tagged , .