DSGVO

Die Verarbeitung von Daten im Auftrag bringt für den Auftragsverarbeiter einige Pflichten mit sich. Während nach dem Bundesdatenschutzgesetz (BDSG) ausschließlich der Auftraggeber für die Auftragsverarbeitung (vormals: Auftragsdatenverarbeitung) verantwortlich war, wird der Auftragsverarbeiter mit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten mitverantwortlich. Auf einige Punkte sollten Dienstleister bei der Auftragsverarbeitung besonders achten – sonst drohen neben der Inanspruchnahme auf Schadensersatz ebenfalls empfindliche Strafen!

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer und organisatorischer Maßnahmen schützen. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt hierbei die vom alten Bundesdatenschutzgesetz (BDSG) gewohnten Datenschutzkontrollen sowie die Acht Gebote des Datenschutzes nach Anlage zu § 9 BDSG. Eine Konkretisierung bleibt in der DSGVO jedoch aus. Deshalb empfiehlt es sich, auf einen anderen Standard zurückzugreifen, um die Datenschutz– und Datensicherheits-Maßnahmen zu implementieren bzw. bei Dienstleistern zu überprüfen.

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung von Daten besonders heikel. Doch während die Änderung des entscheidenden Paragrafen im Strafgesetzbuch (StGB) nun Erleichterungen bringt, kommt die europäische Datenschutz-Grundverordnung (DSGVO) mit neuen Hindernissen. Wer als Berufsgeheimnisträger eine Sanktion vermeiden will, kann eigentlich nur einen Weg gehen.

Die datenschutzrechtlichen Folgen des Brexits – dem Austritt Großbritanniens aus der EU – sind derzeit nur begrenzt abzuschätzen. Verkomplizierend kommt hinzu, dass die europäische Datenschutz-Grundverordnung (DSGVO) bereits ca. zehn Monate vor dem Brexit anwendbar wird – auch in Großbritannien. Britische Unternehmen könnten angesichts des kurzen Zeitraums in Versuchung geraten, die neuen Datenschutz-Regelungen der DSGVO zu ignorieren. Es gibt jedoch vier wichtige Gründe, warum die Einhaltung der DSGVO für britische Unternehmen auch nach dem Brexit wichtig bleibt!

Nur ein Drittel der IT-Unternehmen in Deutschland (34 %) hat erste Maßnahmen ergriffen, um die neuen Regelungen der EU-Datenschutz-Grundverordnung (DSGVO) umzusetzen. Vier von zehn Unternehmen (42 %) beschäftigen sich aktuell mit dem Thema, haben aber noch nicht mit der Implementierung begonnen. Jedes fünfte IT- und Digitalunternehmen (19 %) gibt sogar an, sich noch gar nicht mit der DSGVO beschäftigt zu haben.

Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Damit ist seit Inkrafttreten der neuen europäischen Datenschutz-Vorschriften genau die Hälfte der Zeit zur Umsetzung verstrichen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nutzt diesen Anlass, um 150 zufällig ausgewähhlte Unternehmen zu überprüfen. Inhalt der Kontrolle via Fragebogen ist der Stand der Umsetzung der DSGVO im Unternehmen.

Um ihrer Rechenschaftspflicht unter dem bisherigen deutschen Datenschutzrecht nachzukommen, mussten Unternehmen ihre geeigneten Datenschutzmaßnahmen nur auf Anfrage der Aufsichtsbehörden oder bei eingetretenen Störfällen nachweisen können. Mit der europäischen Datenschutz-Grundverordnung (DGSVO) ändert sich das. Zukünftig müssen Unternehmen proaktiv die Angemessenheit ihres Datenschutzniveaus nachweisen. Welche konkreten Folgen dies hat, lesen Sie in diesem Artikel.

Auch unter der Europäischen Datenschutz-Grundverordnung (DSGVO) bleibt die informierte Einwilligung als Legitimation für die Datenverarbeitung sehr wichtig. Doch in der Praxis stellen sich meist Probleme, die umfassende Information der Nutzer rechtskonform zu gestalten. Wie also kann die informierte Einwilligung im Rahmen der modernen Technik in der Praxis umgesetzt und sichergestellt werden? Welche Möglichkeiten gibt es, den Nutzer möglichst übersichtlich und transparent zu informieren?

Bei der Verarbeitung personenbezogener Daten muss das Datenschutzrecht beachtet werden – ganz gleich, ob es sich um vermeintlich „harmlose“ Daten handelt, wie etwa die berufliche E-Mailadresse eines Mitarbeiters, oder aber besonders „schützenswerte“, wie dessen sexuelle Vorlieben. Trotzdem ist nicht jedes Datum gleichermaßen schutzwürdig und nicht jede Datenverarbeitung greift gleichermaßen stark in das Persönlichkeitsrecht des Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenverarbeitungen folgen können. Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes und / oder ein Verbot der Datenverarbeitung. Wann eine Datenschutz-Folgenabschätzung notwendig wird und was sie enthalten muss, lesen Sie in diesem Artikel.

Die europäische Datenschutz-Grundverordnung (DSGVO) tritt im Mai 2018 in Kraft und ersetzt weitgehend das derzeit geltende Datenschutzrecht – einschließlich der Vorgaben für das E-Mailmarketing. Welche wichtigen Änderungen gibt es? Und wo besteht seitens des Gesetzgebers noch Klärungsbedarf?