DSGVO - Wesentliche Änderungen
Ein Überblick über die wesentlichen Änderungen unter DSGVO und wie sich diese von früheren Verordnungen unterscheiden
Das Ziel der DSGVO ist es, die Privatsphäre aller Bürger der EU in einer zunehmend datengetriebenen Welt zu schützen, die sich deutlich von der unterscheidet, in der die Verordnung von 1995 etabliert wurde. Obwohl die Grundprinzipien des Datenschutzes der früheren Richtlinie immer noch wahr sind, wurden viele Regulierungsmaßnahmen vorgeschlagen; die wichtigsten Punkte der DSGVO sowie Informationen darüber, welchen Einfluss sie auf das Geschäft haben, sind nachstehend aufgeführt.
Größerer räumlicher Anwendungsbereich (Anwendung außerhalb des Hoheitsgebiets)
Die wohl größte Änderung der Regulierungslandschaft des Datenschutzes ist die Ausweitung des Anwendungsbereichs der DSGVO, da sie nun für alle Unternehmen gilt, die persönliche Daten von in der europäischen Union ansässigen Datensubjekten verarbeiten, unabhängig davon, wo sich das Unternehmen befindet. Zuvor war die territoriale Anwendung der Richtlinie unklar und bezog sich auf Datenverarbeitung „im Zusammenhang mit einer Einrichtung“. Dieses Thema ist in einigen Aufsehen erregenden Gerichtsverfahren aufgekommen. Die DSGVO macht ihre Anwendung sehr klar - sie gilt für das Verarbeiten von persönlichen Daten durch Verantwortliche oder Verarbeiter in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die DSGVO gilt auch für die Verarbeitung persönlicher Daten von Datensubjekten in der EU durch einen Verantwortlichen oder Verarbeiter, der nicht in der EU ansässig ist, wenn sich die Aktivitäten beziehen auf: Anbieten von Waren oder Dienstleistungen an EU-Bürger (unabhängig davon, ob Zahlung erforderlich ist oder nicht) und das Überwachen von Verhalten, das innerhalb der EU stattfindet. Nicht-EU-Geschäfte, die Daten von EU-Bürgern verarbeiten, müssen auch einen Vertreter in der EU ernennen.
Strafen
Unter der DSGVO können Organisationen, die gegen die DSGVO verstoßen, mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder €20 Millionen (was auch immer mehr ist) belegt werden. Dies ist die maximale Geldstrafe, die für besonders gravierende Verstöße auferlegt werden kann, wenn z. B. unzureichende Einwilligung des Kunden zur Verarbeitung der Daten vorliegt oder das Kernprinzip von Privacy by Design verletzt wird. Es gibt einen mehrstufigen Ansatz zu den Geldstrafen, wobei z. B. ein Unternehmen mit einer Strafe von 2% belegt werden kann, wenn die Aufzeichnungen nicht in Ordnung sind (Artikel 28), die Aufsichtsbehörde und das Datensubjekt nicht über einen Verstoß informiert werden oder wenn keine Folgenabschätzung durchgeführt wird. Es ist wichtig zu beachten, dass diese Regeln sowohl für die Verantwortlichen aus auch für die Verarbeiter gelten -- das bedeutet, dass „Clouds“ nicht von der Durchsetzung der DSGVO ausgenommen sind.
Einwilligung
Die Bedingungen für Einwilligung wurden gestärkt, und Unternehmen können nicht mehr unlesbare Bedingungen voller Juristenjargon benutzen, da die Anfrage auf Einwilligung in verständlicher und einfach zugänglicher Form erfolgen muss, und der Zweck der Datenverarbeitung der Einwilligung beigefügt sein muss. Die Einwilligung muss klar und von sonstigen Fragen unterscheidbar sein und in verständlicher und leicht zugänglicher Form geboten werden, wobei klare und verständliche Sprache benutzt wird. Die Einwilligung muss so einfach zu widerrufen sein, wie sie gegeben wird.
Rechte von Datensubjekten
Meldung von Verletzungen
Unter der DSGVO ist die Meldung von Verletzungen in allen Mitgliedsstaaten zwingend vorgeschrieben, wenn eine Datenschutzverletzung wahrscheinlich ein „Risiko für die Rechte und Freiheit von Einzelpersonen zur Folge hat“. Dies muss innerhalb von 72 Stunden erfolgen, nachdem die Verletzung bekannt wurde. Datenverarbeiter müssen auch ihren Kunden, den Verantwortlichen, die Verletzung „unverzüglich“ melden, nachdem ihnen die Datenschutzverletzung bekannt wurde.
Auskunftsrecht
Bestandteil der erweiterten Rechte von Datensubjekten, die in der DSGVO dargestellt sind, ist das Recht von Datensubjekten, vom Datenverantwortlichen Bestätigung darüber zu erhalten, ob sie betreffende persönliche Daten verarbeitet werden oder nicht, und wenn, wo und für welchen Zweck. Des Weiteren muss der Verantwortliche eine Kopie der persönlichen Daten kostenfrei in elektronischer Form zur Verfügung stellen. Diese Änderung ist eine dramatische Verschiebung in Richtung Datentransparenz und Ermächtigung von Datensubjekten.
Recht auf Vergessenwerden
Auch bekannt als Recht auf Löschung, berechtigt das Recht auf Vergessenwerden das Datensubjekt dazu, die persönlichen Daten durch den Datenverantwortlichen löschen zu lassen, die weitere Verbreitung der Daten zu unterbinden und möglicherweise die Verarbeitung der Daten durch Dritte zu stoppen. Die Bedingungen für Löschung, wie in Artikel 17 dargestellt, beinhalten u. a., dass die Daten für den ursprünglichen Zweck der Verarbeitung nicht mehr relevant sind, oder dass das Datensubjekt die Einwilligung widerruft. Es muss auch beachtet werden, dass das Recht es erforderlich macht, dass der Verantwortliche die Rechte der Subjekte mit dem „öffentlichen Interesse an der Verfügbarkeit der Daten“ vergleicht, wenn er derartige Anfragen bedenkt.
Datenübertragbarkeit
Die DSGVO führt Datenübertragbarkeit ein - das Recht eines Datensubjekts, die es persönlich betreffenden Daten, die es zuvor in einem „gängigen und maschinenlesbaren Format“ bereitgestellt hat, zu erhalten, und das Recht, diese Daten an einen anderen Verantwortlichen zu übertragen.
Privacy by Design (Datenschutz durch Technikgestaltung)
Privacy by Design als ein Konzept existiert bereits seit Jahren, doch ist es erst jetzt mit der DSGVO Bestandteil der gesetzlichen Anforderungen geworden. Grundsätzlich fordert Privacy by Design den Einschluss von Datenschutzmaßnahmen bereits zum Zeitpunkt der Planung eines Systems, und nicht als einen Zusatz. Genauer gesagt - „Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen effektiv implementieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der Datensubjekte zu schützen.“ Artikel 23 fordert von Verantwortlichen, dass sie nur Daten, die für die Erfüllung ihrer Aufgaben absolut unerlässlich sind (Datenminimierung), halten und arbeiten, und das Zugang zu persönlichen Daten auf solche beschränkt ist, die für die Verarbeitung erforderlich sind.
Datenschutzbeauftragte
Gegenwärtig müssen Verantwortliche Datenverarbeitungsaktivitäten ihrer örtlichen Aufsichtsbehörde melden, was für multinationale Unternehmen ein bürokratischer Alptraum sein kann, da die meisten Mitgliedsstaaten unterschiedliche Meldepflichten haben. Unter der DSGVO wird es weder erforderlich sein, Meldungen / Registrierungen der Datenverarbeitungsaktivitäten an alle örtlichen Aufsichtsbehörden zu übermitteln, noch wird es erforderlich sein, die Genehmigung für Transfers basierend auf Modell-Vertragsklauseln zu melden / erhalten. Stattdessen gibt es Anforderungen für das Führen eines internen Verzeichnisses und, wie weiter unter erklärt, muss ein Datenschutzbeauftragter nur ernannt werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen oder besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten erforderlich machen. Wichtig, der Datenschutzbeauftragte:
- Muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt werden, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt
- Kann Beschäftigter sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen
- Seine Kontaktdaten müssen der relevanten Aufsichtsbehörde gemeldet werden
- Ihm müssen die entsprechenden Ressourcen zur Verfügung gestellt werden, seine Aufgaben zu erfüllen und sein Fachwissen aufrechtzuerhalten
- Muss direkt der obersten Führungsebene unterstellt sein
- Darf keine anderen Aufgaben durchführen, die zu einem Interessenkonflikt führen könnten.