Veranstaltung zur EU DSGVO (3/4)

EU-DSGVO - Teil 3

03. Mai 2018
Verfasst von Sarah Schaudel

Informationspflicht und Betroffenenrechte

Bei der Veranstaltung EU-DSGVO – Die Übergangsfrist ist jetzt! am 24. April 2018 erklärte RA Timo Schutt zunächst die wichtigsten Grundlagen und Begriffe (Teil 1) der Datenschutzgrundverordnung (DSGVO) und ging detailliert auf ausgewählte Änderungen (Teil 2) mit der neuen Regelung ein. In dem folgenden Artikel geht es um die Rechte der Betroffenen und die damit einhergehenden Pflichten der Unternehmen.

Informationspflicht

Der Betroffene muss bei einer Direkterhebung zum Zeitpunkt der Erhebung informiert werden und zwar aktiv. Werden die Daten nicht direkt beim Betroffenen erhoben, muss dieser innerhalb eines Monats informiert werden.

Werden die Daten zuvor zur Kommunikation mit dem Betroffenen verwendet oder weitergegeben, muss der Betroffene bei der ersten Kontaktaufnahme oder der ersten Übermittlung informiert werden.

Doch wo fängt die Informationspflicht an und wo hört sie auf? RA Timo Schutt führt hier Beispiele an, die Fragen aufwerfen:

  • Das Telefon klingelt, die Telefonanlage zeigt die Telefonnummer, vielleicht noch den Namen an und speichert die personenbezogene Information. Soll nun beim Abheben erst einmal darüber informiert werden, dass eine Datenerhebung stattgefunden hat?
  • Wird eine E-Mail ans Unternehmen gesendet, werden ebenfalls Daten erhoben und ggfls. archiviert. Muss der Sender nun darüber in Kenntnis gesetzt werden?
    Ein Link in der Signatur könnte hier die Lösung sein.
  • Werden Ansprechpartner und Kontaktinformationen aus dem Internet zusammengetragen und bspw. im CRM oder einer Excel Tabelle gespeichert, findet eine Erhebung statt und die Person muss informiert werden.
    Da die persönlichen Daten jedoch öffentlich zugänglich sind, sind die Anforderungen an die Datensicherheit sehr gering.

EU-DSGVOBetroffene dürfen zudem jederzeit Informationen über ihre verarbeiteten Daten anfragen. Die angefragten Informationen müssen kostenlos zur Verfügung gestellt werden. Der Betroffene kann die Löschung der Daten beantragen oder kann auch die Verarbeitung einschränken.

Auch hier bestätigt die Ausnahme die Regel. Denn die Informationspflicht gilt bspw. nicht bei der Berufsgeheimnispflicht eines Anwaltes oder Steuerberaters, wenn der Betroffene schon Kenntnis hat oder die Erhebung durch Rechtsvorschriften erlaubt ist.

Die Informationspflicht bezieht sich u.a. auf:

  • Speicherdauer
  • Quelle, aus denen Daten stammen
  • Widerruflichkeit der Einwilligung
  • Rechte auf Sperrung, Löschung etc.
  • Transfer ins Ausland & Rechtsgrundlage

Die Erklärungen zum Datenschutz auf der Website muss grundlegend überarbeitet und an die neuen Regelungen angepasst werden. Die Überarbeitung aller Datenschutzerklärung ist folglich notwendig und alle Datenschutzrichtlinien müssen überpfrüft werden.

Zusammenfassung der Betroffenenrechte

  • Auskunftsrecht
    Betroffener kann einen Antrag auf Auskunft erstellen. So kann überprüft werden, ob die Datenverarbeitung rechtmäßig ist. Wesentliche Informationen zur Datenverarbeitung enthalten Zweck, Dauer, Kategorien und Empfänger der Daten, sowie deren Herkunft. Sollte eine Datenverarbeitung außerhalb der EU stattfinden, muss darüber ebenfalls informiert und die Rechtsgrundlage genannt werden.
  • Widerspruchsrecht
    Die Hürden für einen Widerspruch wurden deutlich abgesenkt. Der Betroffene kann der Datenverarbeitung jederzeit widersprechen. Findet der Datenverarbeiter keine zwingenden Gründe für die Verarbeitung, die die Interessen des Betroffenen deutlich überwiegen, muss dem Widerspruch nachgekommen werden. Beim Direktmarketing ist ein Widerspruch ohne jede Begründung möglich.
  • Berichtigung
    Betroffener kann vom Verantwortlichen eine unverzügliche Berichtigung oder Vervollständigung der personenbezogener Daten verlangen. Die Vervollständigung der Daten kann dann verlangt werden, wenn dies für die Verarbeitungszwecke notwendig ist.
  • Löschung
    Der Betroffene hat mit dem sog. „Recht auf Vergessenwerden“ einen Löschungsanspruch, wenn die Datenspeicherung nicht notwendig ist. Das Löschungsverlangen muss vom Verantwortlichen notfalls auch an Dritte weitergeleitet werden, bspw. bei Verlinkungen und Kopien).
  • Einschränkung
    Die Datenverarbeitung muss einschränken, wenn die Richtigkeit der Daten oder die Rechtmäßigkeit der Datenverarbeitung vom Betroffenen bestritten wird und eine Überprüfung der Daten noch aussteht oder die Entscheidung über den Widerruf noch offen ist.

Meldepflichten

Die Meldepflichten werden deutlich verschärft. Verantwortliche müssen jede Datenpanne, also jede Verletzung des Schutzes von personenbezogenen Daten, muss gemeldet werden. Die Meldung sollte unverzüglich erfolgen, aber spätestens innerhalb von 72 Stunden. Die Personen, deren Daten betroffen sind, müssen ebenfalls über das Ausmaß der Datenpanne informiert werden.

Alle Datenpannen müssen dokumentiert werden, ebenfalls Maßnahmen und Abhilfemöglichkeiten. Die Aufsichtsbehörde kann die Dokumentationen anfordern.

Verarbeitungsverzeichnis

Unternehmen mit weniger als 250 Mitarbeitern müssen grundsätzlich kein Verarbeitungsverzeichnis anlegen. Das große Aber: Wenn das Unternehmen regelmäßig personenbezogene Daten als Auftragsdatenverarbeiter oder besondere personenbezogene Daten verarbeitet, ist das Anlegen und Führen eines Verarbeitungsverzeichnisses wiederum Pflicht.

Alle Vorgänge zur Datenverarbeitung, auch interne, müssen aktuell erfasst werden. Das Verzeichnis kann von Behörden jederzeit angefordert werden, ein Verstoß ist bußgeldbewährt.

Die Erstellung sollte nicht durch den Datenschutzbeauftragten erfolgen, da sonst ein Interessenskonflikt entsteht. Denn seine Aufgabe ist es das Verarbeitungsverzeichnis zu kontrollieren.

Datenschutzfolgenabschätzung

DatenschutzfolgenabschätzungDie Datenschutz-Folgenabschätzung (DSFA) ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder zur Bewertung eines Betroffenen verwendet werden. Darunter fallen bspw. großflächige Videoüberwachungen.

Die DSFA beinhaltet:

  • Beschreibung der Verarbeitungsvorgänge
  • Zweck der Verarbeitung
  • Bewertung der Notwendigkeit der Verarbeitung in Bezug auf den Zweck
  • Bewertung der Risiken der Rechte und Freiheiten der betroffenen Person
  • Abhilfemaßnahmen zur Bewältigung der Risiken

RA Timo Schutt vermutet, dass eine DSFA nur bei dem Einsatz neuer Technologien, die noch nicht Stand der Technik sind, notwendig ist.

Anspruch auf Datenübertragbarkeit

Betroffene haben den Anspruch ihre Daten zu erhalten, bzw. diese an Dritte zu übermitteln. Ursprünglich hatte der Gesetzgeber wohl Facebook im Visier, allerdings kann man das auf viele Dienste anwenden: Stromzähler, Versucherungen, Banken, Online-Shops u.v.m.

Betroffene haben dadurch eine bessere Kontrolle über ihre Daten und haben es einfacher zwischen unterschiedlichen Anbietern zu wechseln.

Verantwortliche müssen die Daten strukturiert, in einem gängigen und maschinenlesbaren Format bereitstellen. Öffentliche Verwaltungen sind hier außen vor.

Dokumentationspflichten

Und noch mehr Dokumentation durch Verantwortliche. Durch den Grundsatz der Rechenschaftspflicht sind Verantwortliche verpflichtet, die Umsetzung und Einhaltung des Datenschutzes nachzuweisen.

Doch was muss laut DSGVO alles dokumentiert werden?

Dokumentation…

RA Timo Schutt empfiehlt die Dokumentation auch ohne Pflicht zur Beweislast zu erstellen.

Aufsichtsbehörden

Mit der DSGVO wird für Aufsichtsbehörden das sog. „One-Stop-Shop-Prinzip“ eingeführt. Das bedeutet, es wird nur noch eine zentrale Behördenzuständigkeit geben, die Aufsichtsbehörde der Hauptniederlassung. Dadurch wird Verantwortlichen und Betroffenen die Kommunikation mit der Behörde erheblich vereinfacht.

Die „federführende“ Behörde ist allerdings nicht zwingend zuständig, wenn sich eine Beschwerde ausschließlich auf die Niederlassung eines Mitgliedsstaates bezieht, oder sich die Datenverarbeitung nur auf betroffene Personen in diesem Mitgliedsstaat auswirken.

Der Europäische Datenschutzausschuss (EDPB) ist eine Institution der EU. Die Aufgaben des EDPB sind die einheitliche Anwendung der EU-DSGVO in allen Mitgliedssaaten. Der Europäische Datenschutzausschuss berät die europäische Kommission zum Datenschutz und erstellt Leitlinien und Empfehlungen.

Das neue BDSG

Nicht alles wurde in der EU-DSGVO eigenständig geregelt. Durch Öffnungsklauseln können die Mitgliedsstaaten nationale Regelungen einbinden.

Das neue Bundesdatenschutzgesetzt (BDSG) ist mit 85 Paragraphen fast doppelt so lang wie bisher. Was hat sich geändert?

  • Dokumentationspflicht bei Auskunftsverweigerung
  • Schutzniveau der DSGVO wird gesenkt: Betroffenenrechte und Informationspflichten
  • Datenschutzbeauftragter ab zehn Mitarbeitern, die mit personenbezogenen Daten arbeiten
  • Beschäftigtendatenschutz

Anschließend stellt RA Timo Schutt eine ToDo-Liste mit sechs Schritten vor, die die Teilnehmer bei der Umsetzung der DSGVO unterstützt,

Und was nun?

RA Timo Schutt betont, dass alle das Thema angehen und jetzt beginnen müssen. Die Umstellung kann als Chance für saubere Abläufe gesehen werden.

Alle internen Prozesse und Abläufe müssen etabliert werden, die Mitarbeiter müssen unterwiesen und geschult werden.

 

Wir verwenden Cookies. Diese helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Website stimmst du der Erfassung von Informationen durch Cookies zu.  Mehr erfahren...

OK