Neue Datenschutzverordnung

Neue Datenschutzverordnung

Lerne, was du jetzt für deinen Shop beachten musst und was es sonst zur neuen Datenschutzverordnung zu wissen gibt. 

Link zur Verordnung: https://dsgvo-gesetz.de/

 

 

  1. Inkrafttreten der neuen Datenschutzverordnung

 

Die neue EU-Datenschutz-Grundverordnung wurde am 14.04.2016 verabschiedet und tritt am 25. Mai 2018 in Kraft. Sie ersetzt die seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG).

 

  1. Ziele der neuen Datenschutzverordnung

 

  • Vereinheitlichung des Datenschutzrechts innerhalb Europas
  • Gleiche Datenschutz-Standards innerhalb Europas
  • Gleiche Wettbewerbsbedingungen auf der Basis hoher Datenschutzstandards
  • Mehr Kontrolle des Einzelnen über Daten
    • Betroffene müssen verständlicher und klarer über die Verarbeitung ihrer Daten aufgeklärt werden

 

  1. Umfang, Geltungsbereich

 

  • Datenschutzprinzipien/Maßstab für Datenverarbeitungsprozesse
    • Rechtmäßigkeit
    • Fairness
    • Transparenz
    • Zweckbindung
    • Datenminimierung
    • Richtigkeit
    • Speicherminimierung
    • Integrität
    • Vertraulichkeit
    • Verantwortlichkeit
  • Die Verordnung gilt nicht für die Verwendung jedweder Daten, sondern nur für personenbezogene Daten
    • B. Browsermerkmale, Handynummer, Name; nicht aber z. B. Wetterdaten

 

  1. Wichtige Änderungen

 

4.1. Geltungsbereich

 

Die neue Datenschutzverordnung (General Data Protection Regulation bzw. EU-DSGVO) ersetzt die bestehenden 28 nationalen Datenschutzgesetze innerhalb der EU. Die neuen Regeln gelten nicht mehr nur für Unternehmen, die in Europa ansässig sind. Auch US-Firmen sind künftig an die Vorgaben gebunden, wenn sie ihre Produkte in Europa anbieten.

 

Jedes Land der Europäischen Union kann neben den EU-Richtlinien weiterhin eigene nationale Gesetze verabschieden. Das ist vor allem bei der Umsetzung der Änderungen in nationales Recht in Großbereichen wie dem Arbeitnehmerdatenschutz der Fall. Das bislang in Deutschland geltende Bundesdatenschutzgesetz wird durch die Änderungen ebenfalls weitgehend obsolet.

 

4.2. Nutzerrechte

 

Die Nutzer sollen in Zukunft leichteren Zugang zu ihren Daten haben. Jeder hat das Recht zu erfahren, welche Daten über ihn gesammelt werden. Darüber hinaus muss jeder Nutzer klar und verständlich darüber aufgeklärt werden, wer seine Daten zu welchem Zweck wie und wo nutzt. Über Hacks müssen Nutzer künftig deutlich ausführlicher aufgeklärt werden.

 

Wichtig:

 

  • Personenbezogene Daten gehören dem Nutzer, nicht dem Dienst, der mit der Datenverarbeitung befasst ist.
  • Es wird für den Einzelnen einfacher, Informationen über sich löschen zu lassen.

 

4.3. Datenerfassung

 

  • Datenverarbeitung durch Unternehmen ist weiterhin möglich, wenn sie ein berechtigtes Interesse an Nutzerdaten haben und die Nutzerinteressen nicht überwiegen.
    • Anforderungen an berechtigtes Interesse durch neue Datenschutzordnung abgesenkt -> Unternehmen können auch ohne Einwilligung mehr Daten verarbeiten, wenn der Betroffene nicht widerspricht.
    • Berechtigte Interessen z.B.: Bekämpfung von Betrug, Daten- und IT-Sicherheit, Werbezwecke, interne Verwaltungszwecke (neu)
    • Alternativ zu berechtigtem Interesse auch Einwilligungserklärung möglich, allerdings höhere Anforderungen als bisher. Nicht mehr möglich, wenn ein Ungleichgewicht zwischen Parteien besteht.

 

4.4. Jugendschutz

 

  • Einwilligung in Verarbeitung personenbezogener Daten künftig nicht mehr mit 13, sondern erst ab 16 möglich. Unter 16 ist Erlaubnis der Eltern erforderlich.

 

4.5. Bußgelder

 

Die Höchstsumme von Bußgeldern bei Datenschutzverstößen wird nicht mehr in starren Werten angegeben. Stattdessen können Bußgelder bis zu vier Prozent der Jahresumsätze des Unternehmens ausmachen. Großunternehmen drohen bei Datenschutzverstößen Strafen in Milliardenhöhe.

 

  1. Folgen für Unternehmen

 

Positiv:

 

  • Bürokratieabbau bei international agierenden Unternehmen
    • Auch bei Unternehmensgruppen meistens nur noch eine einzige Aufsichtsbehörde zuständig
  • Datenschutzbeauftragter muss nur noch bestellt werden, wenn Datenverarbeitung Haupttätigkeit ist. Stattdessen direkte Kommunikation mit Behörden.
  • Bislang in Teilen bestehende Meldepflicht entfällt -> Einsparungen für kleine und mittlere Unternehmen

 

Negativ:

 

  • Implementation technischer und organisatorischer Maßnahmen zum Schutz der Daten erforderlich
    • B. in Einzelfällen Datenschutz-Folgenabschätzung (Privace Impact Assessment) vor Implementierung von Datenverarbeitungsprozessen notwendig
  • Dienste müssen datensparsam gestaltet und mit datenschutzfreundlichsten Voreinstellungen angeboten werden
  • bei Verletzungen des Datenschutzes umfangreiche Meldepflichten gegenüber Behörden und Betroffenen
  • Betroffene können Recht auf Vergessen geltend machen, worauf ihre Daten zu löschen sind
  • Datenverarbeitungen müssen dokumentiert werden
  • höhere Sanktionen bei Verstößen (bis zu vier Prozent der jährlichen Umsatzes)

 

  1. Empfehlungen für Unternehmen

 

  • Viele Unternehmen verarbeiten personenbezogene Daten
    • Erhebung, Verarbeitung und Nutzung der Daten muss rechtlich auf den Prüfstand gestellt werden. Massive Eingriffe in die Datenverarbeitungsprozesse möglich.
  • Weitere Entwicklung in Sachen DSGVO im Auge behalten. Möglichst frühzeitig um Umsetzung kümmern. 2018 zu spät.
  • zweijährige Übergangszeit

 

Folgende Bereiche sollten sich Unternehmen genauer ansehen:

 

Betroffenenrechte

 

  • Information
  • Dokumentation
  • Datenportabilität
  • Recht auf Löschung
  • Nationale Abweichungen

 

Unternehmenspflichten

 

  • Technischer Datenschutz
  • Meldepflicht
  • Datenschutz-Folgenabschätzung

 

(Im Anschluss Zusammenfassung der wichtigsten Bereiche. Für eine vollständige Übersicht der Betroffenenrechte siehe https://www.datenschutzbeauftragter-info.de/neues-eu-datenschutzgesetz-das-sind-ihre-rechte/, für eine vollständige Übersicht der Unternehmenspflichten siehe https://www.datenschutzbeauftragter-info.de/neues-eu-datenschutzgesetz-das-sind-ihre-rechte/).

 

6.1. Information

 

  • Betroffene müssen sofort bei der Erhebung der Daten über die Datenverarbeitung informiert werden

 

6.2. Dokumentation

 

  • Datenverarbeitungsverfahren genau dokumentieren
    • Auflistung der Betroffenen
    • Auflistung der betroffenen Datenkategorien
    • Art der Datenverarbeitung
    • Zweck der Verarbeitung

 

6.3. Datenportabilität

 

  • Personenbezogene Daten müssen sich auf Wunsch des Nutzers von einem Anbieter zu einem anderen übertragen lassen
    • Unternehmen müssen Möglichkeit bereitstellen, personenbezogene Daten in einem allgemein nutzbaren Format kostenfrei mitzunehmen, wenn Betroffener wechseln will.
    • Stärkung der Nutzerunabhängigkeit und des Wettbewerbs

 

  • Unternehmen muss technisch anspruchsvolle Möglichkeit zur Datenmigration in seine Prozesse integrieren. Hierzu gehören Schnittstellen, einheitliche Datenformate, geeignete Übertragungswege und Sicherheitsvorkehrungen.

 

6.4. Wunsch auf Datenlöschung

 

  • Recht auf Vergessenwerden
  • Wollen Betroffene nicht, dass ihre Daten weiterverwendet werden, und gibt es keine legitimen Gründe für die Speicherung, müssen die Daten gelöscht werden. Ein Löschantrag ist in folgenden Fällen zulässig:
    • die Speicherung der Daten ist unzulässig
    • die Daten umfassen politische Meinungen
    • es handelt sich um Daten über die ethnische Herkunft, religiöse Überzeugungen, die Gewerkschaftszugehörigkeit, die Sexualität, die Gesundheit, strafbare Handlungen
    • die Richtigkeit der Daten kann von der verantwortlichen Stelle nicht bewiesen werden
    • die Daten werden für eigene Zwecke verarbeitet
    • der entsprechende Vertrag ist ausgelaufen
  • Unternehmen müssen prüfen, ob sie über Löschverfahren verfügen, mit denen sie alle Daten im eigenen Einflussbereich löschen können
  • Problem: Nicht alle Daten lassen sich jemals vollständig aus dem Internet löschen

 

6.5. Information Betroffener über Angriffe:

 

  • Betroffene müssen ohne Verzögerung über schwere Datenverstöße informiert werden
  • Anforderung an Betroffenenaufklärung:
    • verständliche Sprache
    • Beschreibung des Herganges, der Gegenmaßnahmen und der weiteren Reaktion
    • einfache technische Fehlermeldung nicht mehr ausreichend

 

6.6. Datentransfers ins Ausland

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.