Rechtsanwalt Andrés Heyn

Urheber- und Datenschutzrecht aus einer Hand

Die DSGVO ist da. Was ändert sich für Unternehmen? Was ist zu tun?

| Keine Kommentare

Die Datenschutzgrundverordnung stellt den Schutz von personenbezogenen Daten in der EU sicher und vereinheitlicht den freien Datenverkehr innerhalb der EU. Diese Vereinheitlichung des Rechtsrahmens ist natürlich für internationale Unternehmen sehr vorteilhaft. Zeitgleich ist für den Bereich Justiz und Inneres eine entsprechende Richtlinie erlassen worden (sog. JI-Richtlinie). Datenschutz ist vor allem Personenschutz vor illegaler Datenverarbeitung (wie etwa bei Facebook/Cambridge Analytics), aber natürlich ist hierzu auch die Datensicherheit zu gewährleisten. Die DSGVO hat globalen Vorbildcharakter, mag sie teilweise auch recht bürokratisch anmuten.

Von zentraler Bedeutung ist die Einführung des Marktortprinzips, wodurch auch außerhalb der EU operierende Unternehmen erfasst werden, sofern von außen Waren oder Dienstleistungen in der EU angeboten werden oder eine sog. Verhaltensbeobachtung stattfindet. Durch ein recht komplexes Kohärenzverfahren wird künftig der Europäische Datenschutzausschuß (EDSA) die Leitlinien des Rechtsgebietes bestimmen. Die um den Faktor 66,7 (!) erhöhten Bußgelder (20 Mio. Euro) und die Möglichkeit ein Bußgeld von 4% des Jahresumsatzes zu erheben werden sicherlich zu einer erhöhten Beachtung der vielfältigen Unternehmenspflichten durch Unternehmen wie Facebook oder Google führen. Nach wie vor ist die informierte Einwilligung ein Erlaubnisgrund für die Datenverarbeitung (Verbot mit Erlaubnisvorbehalt). Anderenfalls muss die Datenverarbeitung zur Erfüllung eines Vertrages erforderlich sein oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, wobei nicht die Interessen der betroffenen Person überwiegen.

Nach wie vor sind die meisten Unternehmen zur Beauftragung eines internen oder externen Datenschutzbeauftragten verpflichtet.

Ein interner Datenschutzbeauftragter genießt Kündigungsschutz und wird die komplexen Aufgaben meist nicht umsetzen können. Eingeführt werden diverse Rechenschaftspflichten der Unternehmen (Accountability) und Haftungsregeln, was die Verfolgung von Verstößen durch die Aufsichtsbehörden vereinfachen wird. Neu sind auch die Regelungen zur Meldung von Datenpannen binnen 72 Stunden und die Datenschutzfolgenabschätzung (DSFA). Zur DSFA sollen demnächst „white and black lists“ veröffentlicht werden, die die relevanten Geschäftsfelder definieren. Die Anforderungen der DSGVO zur Transparenz, Zweckbindung, Minimierung usw. müssen erfüllt werden.

Wichtig sind auch die Erweiterung der Betroffenenrechte, wie etwa das Recht auf Vergessenwerden und das Recht auf Datenportabilität, sowie die neue Regelungen zu „Privacy by Design“ (also durch Technik) und „Privacy by Default“ (also durch nutzerfreundliche Voreinstellungen). Es bestehen weitgehende Auskunftsrechte und neue Korrekturrechte sowie ganz erhebliche Informations- und Löschpflichten.

Was ist zu tun?

Sie müssen eine Datenschutz-Management-Struktur einführen und hierbei ist die betriebliche Datenverarbeitung auf Konformität mit der DSGVO zu prüfen. Löschkonzepte sollten in den Unternehmen umgesetzt werden sowie Dokumentationspflichten (zu nennen ist hier z.B. das Verzeichnis der Verarbeitungstätigkeiten (VVT)). Meldepflichten, etwa in Bezug auf den Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde, müssen beachtet werden. Die Verträge mit Dienstleistern im Rahmen der Auftragsdatenverarbeitung  (AVV_Vertrag) und die sog. TOMs (technische und organisatorische Maßnahmen) müssen sicherlich angepasst werden. Die neuen Dokumentationspflichten müssen erfüllt und die Betroffenenrechte gewahrt werden. Die Datenschutzerklärung auf der Unternehmenswebsite ist zu überarbeiten und die vielfältigen Informationspflichten (Art. 13,14 ff DSGVO) müssen erfüllt werden. Hier drohen Abmahnungen. Sog. Privacy by Design und Privacy by Default Regeln müssen geprüft und die Voreinstellungen nutzerfreundlich hochgesetzt werden. Die Rechte auf Auskunft, Berichtigung und Löschung und Datenportabilität der Daten von Betroffenen, müssen in einem Prozess beschrieben und dokumentiert werden. Bei sensiblen Vorgängen ist eine Datenschutzfolgeabschätzung (DFSA) erforderlich und muss dann ausgeführt werden. Ein Prozess zur Meldung von Data Breaches (Hacking usw.) binnen 72 Stunden ist einzuführen.

Gern führe ich für Sie eine Bestandsaufnahme durch und helfe Ihnen bei der Umsetzung der vielfältigen Anforderungen der DSGVO.

Autor: Rechtsanwalt Heyn

Autor: Andrés Heyn

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.