Kategorie-Archiv: Datenschutzbeauftragter

EU-Parlament beschließt Datenschutzgrundverordnung

Vier Jahre hat es nun gedauert, seitdem die EU-Kommission im Jahr 2012 einen ersten Entwurf für eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes vorgelegt hatte. Die seit 1995 bestehende Datenschutzrichtlinie war dringend erneuerungsbedürftig, da sie aufgrund der rasanten technischen Entwicklung überholt war. Sie machte grundlegende Prinzipien wie Zweckbindung und Datensparsamkeit zum europaweiten Standard.

Die Verordnung tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft und wird in zwei Jahren wirksam sein.

Am 4. Mai 2016 erfolgte die Veröffentlichung der DS-GVO im Amtsblatt der Europäischen Union. Sie tritt 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden verpflichtend. Der Zeitraum bis zum Wirksamwerden wirkt auf den ersten Blick sehr lang. Der Arbeitsaufwand sollte in Unternehmen und Behörden aufgrund der Vielzahl der neuen Anforderungen nicht unterschätzt werden, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen.

Hatte das BDSG 48 Paragraphen, so kommt, die EU-Datenschutz-Grundverordnung mit 99 Artikeln und 173 Erwägungsgründen daher und ist damit deutlich umfangreicher als das Bundesdatenschutzgesetz. Die Verordnung, die zum Teil auch Richtliniencharakter hat, enthält eine Reihe von Öffnungsklauseln, die der nationale Gesetzgeber auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszufüllen hat, das gibt ihm aber auch die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Die Herausforderung besteht  darin, dass dem Gesetzgeber ein relativ kurz bemessener Zeitraum zur Verfügung steht, die entsprechenden Gesetzgebungsverfahren durchzubringen. Durch die im Herbst 2017 stattfindende Bundestagswahl wird das gerade in der Bundesrepublik zu einer großen Herausforderung.

Es lassen sich folgende Prinzipien unterscheiden:

  • Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 a, 1. Fall),
  • Grundsatz der Fairness (Art. 5 Abs. 1 a, 2. Fall),
  • Grundsatz der Transparenz (Art. 5 Abs. 1 a, 3. Fall),
  • Grundsatz der Zweckbindung (Art. 5 Abs. 1 b),
  • Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 c),
  • Grundsatz der sachlichen Richtigkeit (Art. 5 Abs. 1 d),
  • Grundsatz der begrenzten Speicherung (Art. 5 Abs. 1 e),
  • Grundsatz der Datensicherheit, Integrität und Vertraulichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der Verantwortlichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der datenschutzfreundlichen Technikgestaltung (Art. 25 Abs. 1),
  • Grundsatz der datenschutzfreundlichen Voreinstellung (Art.25 Abs. 2).

Was sind die wesentlichen Änderungen?

Einwilligung & Auskunftsrecht: Die Einwilligung bleibt wesentlicher Erlaubnistatbestand für die Datenverarbeitung und ihre Wirksamkeit wird weiterhin an strenge Voraussetzungen geknüpft, die zum Teil über die bisherigen Anforderungen hinausgehen.

 Der Einwilligende muss über Identität des Verantwortlichen und möglicher Empfänger, Art, Umfang und Zweck der Datenverarbeitung sowie das jederzeitige Widerrufsrecht informiert werden.

Das BDSG sah für die Einwilligung die Schriftform vor. Eine andere Form war wegen besonderer Umstände jedoch möglich (§ 4 a BDSG), wie z.B. im Onlinebereich mittels Mausklick.

Eine besondere Form der Einwilligung ist in der DSGVO nicht mehr vorgesehen. Die Einwilligung kann nunmehr mündlich, per Mausklick, mittels schlüssigen Verhaltens oder technischer Einstellungen am Browser erteilt werden.

Datenübertragbarkeit: Neu ist das Recht auf Datenübertragbarkeit gemäß Art. 20. Des Betroffenen erhält dadurch das Recht zur ungehinderten und uneingeschränkten Übermittlung seiner erhobenen personenbezogenen Daten durch den Verantwortlichen.

Die Datenübertragung hat in einer strukturierten, gängigen und maschinenlesbaren Form zu erfolgen.

Recht auf Vergessenwerden: Seit einem Urteil des Europäischen Gerichtshofs muss Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Dieses Recht wird nun für alle Unternehmen festgeschrieben. Sie müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen.

Deutlich erhöhter Bußgeldrahmen: Verstöße gegen die Datenschutzregel, können mit bis zu vier Prozent des Jahresumsatzes eines Unternehmens geahnet werden. In einem früheren Entwurf war sogar ein Bußgeld von bis zu fünf Prozent des Jahresumsatzes als Strafe vorgesehen.

Mindestalter: Die Grundverordnung läßt den Mitgliedstaaten einen Entscheidungsspielraum,  ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Das könnte dazu führen, dass sich in einigen EU-Staaten Kinder bereits ab 13 Jahren beispielsweise bei Facebook anmelden dürfen, während in anderen EU-Ländern noch bis zum 16. Geburtstag die Zustimmung der Eltern dafür benötigt wird.

Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, unabhängig davon ob sie ihren Sitz innerhalb der EU haben oder nicht. Wo die Datenverarbeitung stattfindet, ist auch unerheblich, da jede Verarbeitung von personenbezogenen Daten von Nutzerinnen bzw. Nutzern aus der EU unter den Anwendungsbereich der Grundverordnung fällt.

Privacy by Design – Privacy by Default

Art. 25 schreibt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor. Unternehmen sollen bereits bei der technischen Produktentwicklung bzw. bei der Produktimplementierung datenschutzfreundliche Grundeinstellungen achten.

IT-Sicherheits-Workshop für Rechtsanwältinnen und Rechtsanwälte

Am 12.12.2013 fand in Köln der IT-Sicherheits-Workshop für Rechtsanwälte statt. Unter der Überschrift der sicheren Kommunikation in der Kanzlei wurde gemeinsam von „Deutschland sicher im Netz e.V.“ (DsiN), ,,Nationale Initiative für Informations- und Internet-Sicherheit” (NIFIS) und dem „Deutschen Anwalt Verein“ (DAV)  zu einem rund vierstündigen Seminar eingeladen. Darin erhielten die Teilnehmer Informationen über IT-Sicherheit in der Kanzlei und bei der Kommunikation mit Mandanten. Die Teilnahme war aufgrund der Förderung durch das Bundesministerium des Innern kostenfrei.

Die Veranstaltung hatte überwiegend die Sensibilisierung der Teilnehmer über bestehende Risiken hinsichtlich des Schutzes sensibler Daten im Mandantenverhältnisses zum Ziel, bot aber auch Gelegenheit, Fragen aus den eigenen Erfahrungen mit den Referenten zu erörtern. Eine praxisnahe Darstellung  wurde erreicht, da die Referenten Herr Dr. Thomas Lapp (Rechtsanwalt und Mediator) sowie Mathias Gärtner (öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationstechnologie für den Bereich Netzwerktechnik) sowohl die rechtlichen als auch technischen Besonderheiten der IT-Sicherheit beleuchteten.

Weiterlesen

ArbG Cottbus: (kein) Übergang des Datenschutzbeauftragten beim Betriebsübergang

Das Amt des internen Datenschutzbeauftragten geht im Fall eines Betriebsübergangs nicht auf den Erwerber des Unternehmens über, so das Arbeitsgericht Cottbus (Urteil vom 14.02.2013, Az. 3 Ca 1043/12 – Volltext). Dies gelte jedenfalls für den Fall, dass weder eine schriftliche Bestellung des bisherigen Datenschutzbeauftragten zum Datenschutzbeauftragten durch den neuen Betriebsinhaber gebe noch die arbeitsvertragliche Vereinbarung mit dem vorherigen Betriebsinhaber auf den Unternehmenserwerber übergegangen sei.

Weiterlesen

Seminar: Datenschutz bei Finanzdienstleistern

Unser Berater Sascha Kremer, vom TÜV Rheinland zertifizierter externer Datenschutzbeauftragter, führt seit diesem Jahr für die TÜV Rheinland Akademie das Seminar “Datenschutz bei Finanzdienstleistern” durch. Die ersten beiden Termine in Köln und Frankfurt/Main wurden erfolgreich durchgeführt. Nunmehr stehen auch die weiteren Termine für das Jahr 2013 in Hamburg, Berlin, München, Köln und Frankfurt/Main fest. Anmeldungen sind jederzeit online möglich: hier anmelden.

Im Seminar werden u.a. die folgenden Themen behandelt:

  • Grundbegriffe des allgemeinen und finanzspezifischen Datenschutzes
  • Anforderungen an die Datenschutzorganisation bei Finanzdienstleistern
  • Rechte und Pflichten des betrieblichen Datenschutzbeauftragten
  • Kundendatenschutz
  • Scoring
  • Datenschutz bei Finanztransaktionen
  • SWIFT-Verfahren und Datenschutz
  • Mitarbeiterdatenschutz und Korruptionsprävention
  • Whistleblowing
  • Archivierung
  • Outsourcing von Finanzdienstleistungen
  • Umgang mit Datensicherheitsverstößen