Home / Aktuelles & Termine / it.sec blog

Verarbeiten zwei oder mehr Verantwortliche dieselben personenbezogenen Daten arbeitsteilig oder gemeinsam für jeweils eigene Zwecke ("joint control") gilt Art. 26 Datenschutzgrundverordnung (DSGVO).

Beispiele:

  • Reisebüro, Hotelkette und Fluggesellschaft betreiben gemeinsam eine Internet-Plattform, über die sie die Daten erheben und verarbeiten.
  • Unternehmen, die derselben Unternehmensgruppe angehören, betreiben eine gemeinsame Webseite

Die Übermittlung z.B. von Beschäftigtendaten durch den Arbeitgeber an das Finanzamt wäre dagegen von Art. 26 DSGVO nicht erfasst, da das Finanzamt und der Arbeitgeber die Zwecke und Mittel der Datenverarbeitung schon gar nicht gemeinsam festlegen oder die Datenverarbeitung arbeitsteilig vornehmen dürfen und somit zwei separate Verantwortliche sind ("separate controllers").

Gemäß Art. 26 Abs. 1 und 2 DSGVO müssen die gemeinsam Verantwortlichen dann in einer Vereinbarung die folgenden Regelungen treffen:

  • Firmenname und Rechtsform der Verantwortlichen
  • Vertreter der Verantwortlichen
  • Anschrift und Kontaktdaten der Verantwortlichen
  • Übersicht der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen
  • Zwecke und Mittel der Datenverarbeitung
  • Aufteilung der Pflichten aus der DSGVO zwischen den Verantwortlichen
  • Wahrnehmung der Informationspflichten gemäß Art. 13 und Art. 14 DSGVO
  • Wahrnehmung der Rechte der betroffenen Personen aus den Art. 15 bis Art. 22 DSGVO
  • Wahrnehmung der Pflichten aus Art. 12 Abs. 3 und 4 DSGVO
  • Einrichtung einer Anlaufstelle für betroffene Personen

Das Wesentliche der Vereinbarung ist den betroffenen Personen zur Verfügung zu stellen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Wie schon im letzten Blog-Eintrag beschrieben, sieht die Datenschutzgrundverordnung (DSGVO) vor, dass Zertifizierungen als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen können. Unter welchen Bedingungen solche Zertifizierungen "amtlich" anerkannt sind, ist ebenfalls dort beschrieben.

Hier möchten wir ein führendes Zertifizierungsverfahren kurz vorstellen, das "ADCERT Privacy Siegel".

Das ADCERT Siegel deckt die Anforderungen der EU-DSGVO vollständig ab, ist aber so ausgelegt, dass auch internationale oder multiregulatorische Anforderungen, bzw. Spezialfälle im Rahmen eines Datenschutz-Managementsystems (DMS oder PMS) adressiert werden können.

Das ADCERT Verfahren ist nicht nur an die allseits bekannte ISO/IEC 27001 "angelehnt". Es fügt sich als derzeit einziges Siegel über die offizielle Schnittstelle für sektorspezifische Erweiterungen (ISO/IEC 27009) vollständig in die ISO/IEC 27001 ein, bzw. bildet die ISO/IEC 27001 Requirements vollständig ab.

Operativ kann das ADCERT Verfahren für sich alleine, als reines Datenschutz-Management-System (DMS) angelegt werden, es kann ebenso in ein bestehendes ISO/IEC 27001 ISMS eingebunden, oder später dahingehend erweitert werden. Insbesondere die Überlappung vieler technischer und organisatorischer Aspekte lässt sich so effizient darstellen und Redundanzen bei der Verwaltung vermeiden.

Auch wenn keine Zertifizierung angestrebt wird, ist es empfehlenswert die Methodologie dennoch anzuwenden

Die Herangehensweise oft schon durch Kenntnisse bei der ISO/IEC 27001 vertraut. Der Ansatz darf als zukunftssichere Investition gesehen werden, da eine kommende Normierung mindestens sehr nahe am ADCERT Verfahren liegen wird. Die Erfinder des Siegels sind in den entsprechenden Normierungsgremien der DIN vertreten und haben im Prinzip den aktuell in den Anfängen stehenden Normierungsbestrebungen zum Datenschutz vorgegriffen. Ebenfalls eingeflossen sind Erfahrungen aus von den Machern durchgeführten Europrise Zertifizierungen, welche halfen an vielen Stellen deutlich verbesserte Transparenz und Planbarkeit zu schaffen:

  • Anerkanntes Verfahrensprinzip
  • Trennung von Beratung und Audit
  • Vergleichbarkeit der Siegelqualität durch Minimierung des Einflusses von "individuellen Auditorenansichten"
  • Planbarkeit der Kosten für Audits
  • Über Requirement-Analyse für alle Rechts- und sonstigen Anforderungsräume geeignet, auch International.
  • Bestimmung der Risiken über eine Privacy Impact Analyse (PIM)
  • Maßnahmen müssen angemessen sein (keine simplen Ja/Nein Checklisten)
  • Nachhaltigkeit der Maßnahmen durch ein Managementsystem gewährleistet, kein bloßer Schnappschuss

Bei Fragen, wenden Sie sich bitte gerne an uns oder direkt an die ADCERT GmbH in Berlin.

Holger Heimann, Geschäftsführer it.sec

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass im Rahmen der Beurteilung eines Verantwortlichen oder Auftragsverarbeiters Zertifizierungen herangezogen werden können, die als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen.

Solche Zertifizierungen können also eine dahingehende Indizwirkung entfalten und eigene Überprüfungsaufwendungen mindern helfen. Art. 42 und Art. 43 DSGVO regeln, welche Anforderungen und Möglichkeiten für solche Datenschutz-Zertifizierungen bestehen.

Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den folgenden Zertifizierungsstellen ausgestellt werden:

  • Aufsichtsbehörden
  • Akkreditierte Zertifizierungsstellen

Die Zertifizierungsstelle, die die Zertifizierung vornimmt bzw. das Zertifikat ausstellt, muss gemäß Art. 43 Abs. 1 lit. a) und b) DSGVO von einer der folgenden Akkreditierungsstellen akkreditiert worden sein:

  • Zuständige Aufsichtsbehörde
  • Anerkannte Akkreditierungsstelle i.S.v. Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung (z.B. Deutsche Akkreditierungsstelle GmbH)

Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung schreibt vor, dass jeder EU-Mitgliedstaat eine einzige Akkreditierungsstelle zu benennen hat, die Zertifizierungsstellen akkreditiert. Seit dem 01.01.2015 können nur noch diejenigen Zertifizierungsstellen gültige Zertifikate ausstellen, auf die selbst eine Akkreditierungsurkunde der von den EU-Mitgliedstaaten benannten Akkreditierungsstellen für den betreffenden Akkreditierungsbereich ausgestellt wurde, gemäß Art. 39 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Sofern die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO beruht, sind folgende Punkte für das Vorliegen einer wirksamen Einwilligungserklärung zu beachten:

  • Form: Ausdrückliche Erklärung (durch Originalunterschrift) oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann (z.B. Double-Opt-In-Verfahren).
  • Die Beweispflicht, dass eine Einwilligung vorliegt, trifft den Verantwortlichen.
  • Die Einwilligung muss gemäß Art. 7 Abs. 4 DSGVO auf der freien Entscheidung (= freiwillig, ohne Zwang) der betroffenen Person beruhen.
  • Einwilligungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht.
  • Die betroffene Person muss sich zudem der Tragweite ihrer Einwilligung bewusst sein; dies kann sie nur, wenn sie vollständig informiert ist, was mit ihren personenbezogenen Daten geschieht, und in Kenntnis gesetzt wird von ihrem Recht auf Widerruf ihrer Einwilligung.
  • Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben (z.B. in den AGB), muss sie drucktechnisch hervorgehoben (z.B. Fettdruck, Einrahmung) werden.
  • Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, muss sich die Einwilligung explizit auf diese Art der Daten beziehen gemäß Art. 9 Abs. 2 lit. a) DSGVO („ausdrücklich eingewilligt“).
  • Das Alter der betroffenen Person, die in die Verarbeitung ihrer personenbezogenen Daten einwilligt, muss mindestens 16 Jahre betragen (vgl. Art. 8 Abs. 1 S. 1 DSGVO).
  • Die Anforderungen an eine Einwilligung eines Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft bestimmt sich nach Art. 8 Abs. 1 DSGVO.
  • Sofern die Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau auf einer Einwilligung beruht, bestehen zusätzliche Anforderungen, Art. 49 Abs. 1 lit. a) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Unternehmen, die personenbezogene Daten verarbeiten, sind unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtet. Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Es dürfen folglich nur solche Personen bestellen werden, die in der Lage sind, diese Aufgabe frei von sachfremden Zwängen auszuüben. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun in einem solchen Fall eine Geldbuße gegen das Unternehmen ausgesprochen.

Unternehmen und andere Stellen müssen nach dem BDSG einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Zahlreiche Unternehmen erfüllen in der Regel diese Voraussetzungen. Das BDSG stellt es Unternehmen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird oder aber durch einen Mitarbeiter erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können.

Genau ein solcher Fall lag dem BayLDA nun zur Bearbeitung vor.

In diesem Fall war der interne Datenschutzbeauftragte des Unternehmens gleichzeitig IT-Manager im Unternehmen. Hierin sah der BayLDA einen Interessenskonflikt. Diese Doppelfunktion geht damit einher, dass der Datenschutzbeauftragte sich selbst in seiner Funktion als IT-Manager kontrolliere müsse. Als IT-Manager habe er im Unternehmen aber maßgebliche operative Verantwortung für sämtliche Datenverarbeitungsprozesse. Eine Selbstprüfung ist nicht möglich, so dass es im Ernstfall zu einem wirtschaftlichen Interessenskonflikt führen kann.

Durch die Verhängung eines Bußgeldes durch das BayLDA wird noch einmal deutlich, wie wichtig die tatsächliche Unabhängigkeit des internen Datenschutzbeauftragten ist. Kann keine geeignete Person im Unternehmen gefunden werden, sollte auf einen externen Datenschutzbeauftragten zurückgegriffen werden.

Auch hat das BayLDA wieder einmal aufgezeigt, dass ein Verstoß gegen den Datenschutz kein Kavaliersdelikt ist und durchaus auch mit Bußgeldern geahndet werden kann. Diese Bußgelder werden sich mit der Datenschutzgrundverordnung ab Mai 2018 drastisch erhöhen. Stellen Sie am besten bereits heute sicher, dass Sie in Ihrem Unternehmen datenschutzkonform aufgestellt sind.

Dr. Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Widerspruchsrecht der betroffenen Person:

Die betroffene Person hat gemäß Art. 21 Abs. 1 DSGVO das Recht,

  • der weiteren Verarbeitung ihrer personenbezogenen Daten oder einem Profiling
  • auf Grundlage von Art. 6 Abs. 1 lit. f) oder e) DSGVO

jederzeit zu widersprechen, sofern sich hierfür

  • aus der besonderen persönlichen Situation der betroffenen Person schutzwürdige Interessen am Ausschluss der Datenverarbeitung oder des Profilings ergeben und
  • der Verantwortliche keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung oder das Profiling nachweisen kann.

Ebenso hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO jederzeit das Recht, der Verarbeitung ihrer Daten oder dem Profiling zum Zwecke der Direktwerbung zu widersprechen.

Der Verantwortliche muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das ihr zustehende Widerspruchsrecht hinweisen gemäß Art. 21 Abs. 4, Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO.

Widerrufsrecht der betroffenen Person:

Der betroffenen Person steht gemäß Art. 7 Abs. 3 S. 1 DSGVO ein Widerrufsrecht mit Wirkung für die Zukunft gemäß Art. 7 Abs. 3 S. 2 DSGVO zu aufgrund ihrer freiwillig im Rahmen einer Einwilligung i.S.v. gemäß Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 a) DSGVO abgegebenen personenbezogenen Daten.

Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht vor Abgabe ihrer Einwilligung in Kenntnis setzen gemäß Art. 7 Abs. 3 S. 3, Art. 13 Abs. 2 lit. c), Art. 14 Abs. 2 lit. d) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bereits erhoben hat und diese Daten zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeiten möchte, treffen vor der Weiterverarbeitung Informationspflichten gemäß Art. 13 Abs. 3 bzw. 14 Abs. 4 DSGVO.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei der betroffenen Person erhoben wurden, muss die betroffene Person gemäß Art.13 Abs. 3 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 13 Abs. 4 DSGVO entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei anderen Quellen erhoben wurden, muss die betroffene Person gemäß Art.14 Abs. 4 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die Herkunft der Daten,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 14 Abs. 5 DSGVO entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt oder nach den Umständen des Einzelfalls und der Lebenserfahrung mit der entsprechenden Datenverarbeitung rechnen muss.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bei anderen Quellen beschafft, treffen Informationspflichten gemäß Art. 14 Abs. 1 und 2 DSGVO:

Sofern eine Beschaffung personenbezogener Daten der betroffenen Person bei anderen Quellen erfolgt, wird die betroffene Person informiert über

  • die Identität des Verantwortlichen,
  • den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
  • die Rechtsgrundlage der Datenverarbeitung,
  • Kategorien personenbezogener Daten,
  • die Herkunft der Daten,
  • die Empfänger, an die die Daten weitergegeben werden,
  • geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,

Die Informationen müssen der betroffenen Person zugehen

  • bei der erstmaligen Kommunikation mit der betroffenen Person.
  • zum Zeitpunkt der ersten Offenlegung gegenüber einem Empfänger.
  • zum Zeitpunkt der ersten werblichen Ansprache.
  • spätestens jedoch innerhalb eines Monats nach Datenerhebung.

Die Informationspflicht kann entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

In Teil III wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Es ist unmittelbarer Ausfluss des informationellen Selbstbestimmungsrechts, dass die betroffene Person stets weiß, wer welche personenbezogenen Daten wann über sie erhebt. Personenbezogene Daten der betroffenen Person dürfen somit nicht ohne ihr Wissen erhoben werden. Die erstmalige Erhebung und damit einhergehende Verarbeitung ihrer personenbezogenen Daten oder eine Weiterverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck darf nicht ohne Kenntnis der betroffenen Person erfolgen.

Auch nach der DSGVO bestehen Informationspflichten, wenn personenbezogene Daten einer betroffenen Person

  • direkt bei der betroffenen Person erhoben werden, Art. 13 DSGVO.
  • bei anderen Quellen beschafft werden, Art. 14 DSGVO.
  • zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet werden, Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person direkt bei dieser erhebt, treffen Informationspflichten gemäß Art. 13 Abs. 1 und 2 DSGVO zum Zeitpunkt der Erhebung:

Die betroffene Person muss vom Verantwortlichen informiert werden über

  • die Identität des Verantwortlichen,
  • den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
  • die Rechtsgrundlage der Datenverarbeitung,
  • eine etwaige bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Empfänger, an die die Daten weitergegeben werden,
  • geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr etwaiges Widerspruchsrecht gemäß Art. 21 DSGVO,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

In Teil II wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person bei anderen Quellen beschafft.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Im folgenden Artikel wollen wir einmal auf die Vorzüge der Datenschutzgrundverordnung (DSGVO) eingehen. Sie gilt ab dem 25.05.2018 verbindlich für alle EU-Mitgliedstaaten. Der folgende Artikel soll zeigen, dass mit dem Inkrafttreten der DSGVO viel Positives in der europäischen Rechtsordnung geschaffen wurde.

Harmonisierung des Datenschutzrechts
Aktuell haben alle 28 Mitgliedstaaten eigene Datenschutzgesetzte mit unterschiedlichem Niveau. Mit der DSGVO wird das Datenschutzrecht innerhalb der Europäischen Union sowohl für den privaten als auch den öffentlichen Bereich über weite Strecken vereinheitlicht.

Stark erhöhte Bußgelder
Die erhöhten Bußgelder sind für den Datenschutz durchaus als Vorzug zu betrachten. Mit der Erhöhung auf bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens kommt dem Datenschutz in den Unternehmen endlich die gewünschte Bedeutung zu.

Informierte und eindeutige Einwilligung
Die DSGVO bestimmt, dass nur eine informierte und unmissverständlich abgegebene Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung wirksam ist. Des Weiteren besteht über die erteilte Einwilligung eine Beweispflicht. Die Rechte der Betroffenen werden durch diese Regelung somit gestärkt.

One-Stop Shop
Betroffene können sich bei Beschwerden immer an die Datenschutzaufsichtsbehörde ihres Mitgliedstaates wenden, unabhängig davon, in welchem Mitgliedstaat der Datenverstoß geschehen ist.

Pflicht zur Bestellung eines Datenschutzbeauftragten auf Europaebene
Nach Art 37 DSGVO gibt es für bestimmte Fälle eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten. Dies gilt nun für alle europäischen Mitgliedsstaaten!

Konzernprivileg
Die DSGVO gewährt Unternehmen eine Art Konzernprivileg. Danach können gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen unter erleichterten Voraussetzungen erfolgen. Alle Unternehmen benötigen jedoch immer noch ein angemessenes Datenschutzniveau.

Recht auf Vergessenwerden
Unternehmen müssen personenbezogene Daten von Betroffenen löschen, wenn die betroffene Person dies wünscht und es keine zulässigen Gründe für eine weitere Speicherung der Daten gibt.

Bettina Kraft
Justiziarin, Consultant für Datenschutz

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Mon Tue Wed Thu Fri Sat Sun
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31