Datenschutz für Unternehmen

Noch nie war der Datenschutz so herausfordernd wie heute. Insbesondere die fortschreitende internationale Ausrichtung des Geschäftsalltags macht es notwendig, sich eingehend mit den datenschutzrechtlichen Bestimmungen der einzelnen Staaten zu befassen. Dazu kommt der technologische Vorsprung, der viele Fallstricke mit sich führt, insbesondere im Hinblick auf den Datenverkehr im Online-Umfeld. Deshalb hat die EU-Kommission entschieden, den Datenschutz zu harmonisieren und mit der Grundverordnung zum Datenschutz (EU DSGVO) einen zentralen Rahmen aufzustellen.

Sie ist als Direktive die Basis für die Reform des Datenschutzes zur Neuordnung der Datenschutzvorschriften in den Mitgliedsstaaten. Bisher mussten Unternehmen in Deutschland das BDSG beachten. In Zukunft müssen sie jedoch der grundlegenden Datenschutzverordnung Priorität beimessen. Das Europäische Parlaments hat die vorliegende Regelung bereits angenommen, und es sind dringende Maßnahmen erforderlich. Unternehmen werden mit vielen Innovationen konfrontiert sein, viele Abläufe müssen überarbeitet und adaptiert werden.

Die Bandbreite der datenschutzrechtlichen Veränderungen, die mit der EU DSGVO verbunden sind, ist groß. Die wichtigsten datenschutzrechtlichen Themen der Synopsis haben wir für Sie aufbereitet. Wir erklären auf dieser Website ausführlich, welche Innovationen und Veränderungen zu beachten sind, damit Unternehmen in der Folgezeit ein entsprechendes Schutzniveau erzielen können. Beispielsweise sind die deutschen Unternehmen nach wie vor verpflichtet, einen Beauftragten für den Datenschutz zu benennen, wenn bestimmte Anforderungen erfüllt sind.

Bei der Erfassung und Bearbeitung von personenbezogenen Nutzdaten kommt der Zweckbestimmung zugute. Die Erfassung der Informationen darf nur zu einem vorher festgelegten Verwendungszweck erfolgen. Unternehmen wollen die Informationen oft für andere Verwendungszwecke verwenden. Die Unternehmen sind nach dem in Kraft treten der Grundverordnung zum Datenschutz erstmals verpflichtet, einen europaweiten Beauftragten für den Datenschutz zu benennen.

Es werden jedoch neue Bedingungen zur Anwendung kommen, die zu der Pflicht führen: Er liegt vor, wenn die Datenverarbeitung als Kernaufgabe anzusehen ist, aber nur dann, wenn der Anwendungsbereich oder der Verwendungszweck eine umfassende, regelmässige und systematische Aufsicht erfordert. Darüber hinaus gibt es eine Bestellpflicht, wenn spezielle Datenkategorien an der Datenverarbeitung beteiligt sind, und auch hier gibt es eine Kernaktivität.

Jede Gesellschaft ist verpflichtet, unabhängig zu überprüfen, zu belegen und zu beweisen, ob die Ernennung eines Beauftragten für den Datenschutz erforderlich ist. Wenn Unternehmen die Notwendigkeit der Ernennung eines DSB in Betracht ziehen, sollten sie die Auswirkungen der Eröffnungsklauseln erwägen. Das DSGVO der EU gibt den EU-Mitgliedstaaten die Befugnis, zusätzliche einzelstaatliche Vorschriften für die Ernennung eines behördlichen Beauftragten für den Datenschutz zu erlassen.

Daher ist es auch erforderlich, dass die nunmehr geltenden Bestimmungen des 38 Abs. 1 BDSG n. F. auf inländische Unternehmen anzuwenden sind. Stellt sich heraus, dass keine Pflicht vorliegt, sollte geprüft werden, ob die Ernennung des Beauftragten für den Datenschutz auf freiwilliger Basis geschieht. Anlass für diese Entscheidung sind die mit der EU DSGVO verbundenen massiven Veränderungen im Datenschutzgesetz.

Eine Vielzahl dieser Aufgabenstellungen ergeben sich auch dann, wenn kein Beauftragter für den Datenschutz zu ernennen ist. Die Richtlinie legt auch die Rechte und Pflichten des behördlichen Datenschutzverantwortlichen fest. Darüber hinaus ist es z.B. erforderlich, die Erfüllung der EU DSGVO innerhalb des Unternehmens zu kontrollieren. Gleiches trifft auf die Überprüfung der Konzernstrategie und die Aufgabenverteilung zu.

Die zusätzlichen Überwachungsverpflichtungen erhöhen die Verantwortlichkeit und damit auch die Verantwortlichkeit des Beauftragten für den Datenschutz erheblich. Beschäftigte, die bereits den Posten des behördlichen Datenschützers bekleiden, müssen selbst entscheiden, ob sie diese Aufgabe übernehmen wollen. Das bestehende Gesetz über die Pflicht zur Unterrichtung der Nutzer der eigenen Webseite über die Erfassung und Verwendung persönlicher Angaben bleibt weiterhin gültig und wird von der EU DSGVO um weitere Verpflichtungen für den Standortbetreiber ergänzt.

Der Bedarf an datenschutzkonformen Meldungen besteht weiterhin, um die Besucher der Website ausreichend über datenschutzrelevante Tätigkeiten zu unterrichten. Neue Aspekte einer Datenschutzbestimmung sind z. B., dass die betroffenen Personen zum Zeitpunkt der Erhebung personenbezogener Datensätze über die Erhebung informiert werden müssen und der Verwendungszweck und die rechtliche Grundlage der Erhebung angegeben werden müssen.

Neben weiteren Verpflichtungen ist auch die Beschränkungs-, Widerspruchs- und Beschwerdemöglichkeit der betreffenden Person zu klären. Generell sollten die Datenschutzbestimmungen in einer präzisen, transparenten und leicht zugänglichen Fassung und Formulierung aufbewahrt werden. Der Anspruch, vergessen zu werden, ist ein wesentliches Element der EU-Datenschutz-Grundverordnung.

Verwandte Regelungen, die für eine Webseite relevant sind, müssen eingehalten werden. Dazu gehört auch die Pflicht zur Unterstützung der betreffenden Person. Wurden z.B. die gesammelten Informationen an Dritte weitergegeben und verlangt die betreffende Person eine Streichung, so muss die Streichanleitung übermittelt werden. Der Transfer von personenbezogenen Nutzdaten an Unternehmen in Drittstaaten oder an international tätige Unternehmen ist nur dann erlaubt, wenn die Rechtsvorschriften des betreffenden Staates ein ausreichendes Maß an Datenschutz gewährleisten.

Wenn das Niveau des Datenschutzes nicht ausreichend ist, wird der Schutz der Daten durch die grenzüberschreitende Übermittlung ausgesetzt. Mit der neuen Richtlinie wird der Vorgang durch die Festlegung konkreter Werkzeuge, die als Basis für eine gesicherte Datenübertragung dienen sollen, erleichtert. Die Zertifizierung wird immer wichtiger, um sicherzustellen, dass Unternehmen ein ausreichendes Maß an Datenschutz aufgebaut haben. Dies sollte auch für den Datenschutz gelten.

Der Schwerpunkt der Zertifizierungen liegt auf den tatsächlichen Prozessen der Datenverarbeitung, einschließlich des Datenschutzes. Besteht ein Unternehmen den Zertifizierungsprozess mit Erfolg, kann es sich mit einem Datenschützsiegel ausstatten. Damit wird nachgewiesen, dass alle für den Datenschutz relevanten Verfahren den Vorgaben der EU DSGVO und - je nach Zertifikation - zusätzlichen landesspezifischen Vorgaben entsprechen.

Mit gutem Beispiel voran gehen könnte das offizielle Datenschutz-Siegel für IT-Produkte nach dem Landesschutzgesetz Schleswig-Holstein. Ungeachtet dessen ist es aber bereits heute klar, dass es für Unternehmen von Bedeutung ist, eine vollständige und vollständige Gesamtdokumentation (Risikobewertungen, Verfahrensbeschreibungen, etc.) zu erstellen, um die Basis für nachfolgende Datenschutz-Zertifizierungen zu legen. Irrtümer, die bei der Verarbeitung von Daten auftreten, können den Versuchspersonen großen Nachteil bringen.

Das EU-DSGVO macht es den Beteiligten leichter, Haftpflichtansprüche gegen Unternehmen durchzusetzen. Im Prinzip hatten die Betreffenden immer dieses Recht. Bisher konnten Haftpflichtansprüche erhoben und mit Erfolg vollstreckt werden, solange es zu Fehlern in der Informationsverarbeitung kam oder die tatsächliche Veredelung nicht zulässig war und dem Datensubjekt auch Sachschäden entstanden sind. Damit wird das Angebot ausgeweitet, d.h. die Betreffenden können auch Haftpflichtansprüche erheben, wenn sie einen immateriellen Sachschaden erleiden.

Gleichzeitig sind Verarbeitungsfehler nicht der einzige kritische Faktor. Darüber hinaus wird in Frage gestellt, ob die Informationsverarbeitung in der für die betroffene Person erwarteten Weise durchgeführt wurde. Das heißt für Unternehmen, dass sie aufgrund der neuen Regelungen in Zukunft einem wesentlich erhöhten Haftpflichtrisiko unterliegen werden und ihre Abläufe daher zunehmend kritischen Blick haben müssen.

Zahlreiche Unternehmen haben das Gefühl, dass sie beim Datenschutz im Vergleich zu Wettbewerbern, die keinen eingetragenen Firmensitz oder eine Niederlassung in der EU haben, im Nachteil sind. Für Auslandsgesellschaften wurde die Haftungserweiterung verlängert, d.h. auch sie müssen bei einem ungenügenden Schutzniveau mit Haftungsansprüchen gegen sie gerechnet werden. Dies setzt voraus, dass persönliche Angaben gesammelt oder bearbeitet werden und die Mitteilung an die Nutzer in einer Landessprache stattfindet, die eine offizielle Landessprache eines EU-Mitgliedstaats ist.

Besonders bedeutsam sind diese Informationen für diejenigen, die für solche Unternehmen in Drittstaaten arbeiten und dort für den Datenschutz zuständig sind. Es ist dann von entscheidender Bedeutung, die datenschutzrechtlichen Anforderungen der EU DSGVO umfassend zu beachten, um nicht in die Haftungslücke zu geraten. Bisher wurden Datenschutzverletzungen je nach Natur mit Geldbußen von bis zu 50000 oder sogar 300000 EUR ahnden.

Zentrales Problem dabei war, dass einige Unternehmen dieses Restrisiko mit Zustimmung akzeptiert und in einigen Fällen vorsätzlich gegen das Datenschutzgesetz verstößt haben. Diese sollten abschreckender Natur sein, damit die Unternehmen den Datenschutz in jedem Falle ernsthaft wahrnehmen. Die Geldbußen wurden daher erhöht, so dass sie je nach Typ der Datenschutzverletzung mit bis zu 10 Millionen EUR oder gar 20 Millionen EUR bestraft werden können.

Ist das Unternehmen eine Unternehmensgruppe, ist auch eine Verknüpfung mit dem jährlichen Umsatz möglich. Der EU-Begriff "Unternehmen" ermöglicht es der verantwortlichen Kontrollbehörde, die ganze Wirtschaftseinheit zu durchleuchten. Wird eine Datenschutzverletzung durch eine Tochtergesellschaft verübt, ist es ihr trotzdem erlaubt, den kompletten globalen Gruppenumsatz zu nutzen.

Das Aufsichtsorgan kann eine Verfügung erlassen, um die Verletzung zu ahnden. Dies bedeutet für das Unternehmen die Verpflichtung, die betreffenden Verfahren in der Informationsverarbeitung entsprechend den Anforderungen des Unternehmens umzustellen. Geschieht dies nicht, kann die Behandlung von personenbezogenen Merkmalen völlig verboten werden. Das Erheben und Verarbeiten von personenbezogenen Merkmalen ist mit einer Informationsverpflichtung verbunden. Er sorgt für Klarheit gegenüber der betreffenden Person.

Die betroffene Person ist klar darüber zu informieren, welche Informationen zu welchem Zeitpunkt erfasst und bearbeitet werden. Darüber hinaus sind die Kontaktangaben des für die Datenverarbeitung Verantwortlichen zu nennen. Im Falle eines Stellvertreters sind seine Anschrift - ebenso wie die des Aufsichtsführenden - mitzuteilen. In Zukunft sind das begründete Nutzungsinteresse an der Datenerhebung und die rechtlichen Grundlagen sowie Informationen zu Bearbeitungszwecken, die zur Datenerhebung berechtigt, anzugeben. der Datenerhebung.

Bei der Weitergabe persönlicher Angaben ist die betroffene Person über den eindeutigen Adressaten zu informieren. Sollen die Angaben an Unternehmen in Drittstaaten oder andere international tätige Unternehmen weitergegeben werden, so ist dies auch zu übermitteln. Achtung: Auch wenn die Angaben nur von einem solchen Dritten aufbewahrt werden, muss dies angegeben werden. Die Gesellschaft ist verpflichtet, die betroffene Person über die Sonderbedingungen zu informieren, die der Übertragung gemäß den Artikeln 44 ff. der Richtlinie zugrunde liegen.

Gleichermaßen muss in der Kommunikation angegeben werden, welche Massnahmen ein geeignetes Schutzniveau für den Adressaten sicherstellen. Die betreffende Person muss auch die Gelegenheit haben, die ergriffenen Massnahmen zu überprüfen. Um ein hinreichendes Maß in Bezug auf die Offenlegung zu erreichen, sollten den Beteiligten auch die folgenden Aspekte mitgeteilt werden: Sie muss über ihre Rechte informiert werden, insbesondere über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch sowie das Recht auf Übermittlung der personenbezogenen Nutzer.

Dem Betreffenden muss klar sein, an welche Kontrollinstanz er sich für eine Reklamation wendet. Darüber hinaus sind die vertragsgemäßen Pflichten der Datenlieferanten zu präzisieren. Bei automatisierten Beschlüssen (einschließlich Profilerstellung) muss die betroffene Person über die verwendete Verarbeitungslogik, den Umfang der Verarbeitungslogik und die beabsichtigten Wirkungen der Datenverarbeitung aussagekräftig informiert werden.

Soweit die Angaben von Dritten erhoben werden, gibt es weitere Informationspflichten: Dabei sind die verschiedenen Arten von persönlichen Angaben zu erwähnen. Dies gilt auch dann, wenn die betroffenen Personen mit einer Übertragung rechnen konnten. Es ist erforderlich, das legitime Recht, das zur Datenverarbeitung führt, offenzulegen. Die Herkunftsquellen der persönlichen Angaben sind aufzuführen.

Ist dies im Einzelnen nicht möglich, z.B. weil mehrere Bezugsquellen vorhanden sind, werden generelle Informationen empfohlen. In der EU oder den Mitgliedsstaaten wurden Gesetze erlassen, die die Beschaffung oder Offenlegung von Informationen klar und deutlich regulieren. Die Geheimhaltungsverpflichtung richtet sich nach dem Recht der EU oder der Mitgliedsstaaten. Bei einer Direkterhebung entsteht die Auskunftspflicht sofort, d.h. zur gleichen Zeit.

Bei einer Abgabe an Dritte ist dagegen eine maximale Dauer von einem Kalendermonat vorgesehen. Werden die Angaben für die Übermittlung an die betroffene Person verwendet, so ist die Mitteilungspflicht bis spätestens zum Zeitpunkt der ersten Kontaktnahme zu erfüllen. Die Unternehmen müssen im Voraus beurteilen, was ihre eigenen und die der betreffenden Person sind und ob daher von ihnen erwartet werden kann, dass sie eine Werbeaktion akzeptieren.

Gleichzeitig ist die EU DSGVO mit der Verpflichtung verbunden, jede Einzelmaßnahme der Werbewirtschaft einschließlich der Abwägung der Interessen zu dokumentieren. Die individuellen Bedingungen für die jeweiligen Werbemittel gelten: Postwerbung: Die Zustimmung der betroffe. Das Datensubjekt muss in der Lage sein, festzustellen, wer für die Bewerbung verantwortlich ist. Wenn die persönlichen Angaben aus einer dritten Person kommen, muss dies erwähnt werden.

Darüber hinaus führt die EU-Datenschutz-Grundverordnung ein umfangreiches Einwandrecht ein. 21 versichert der betroffene Person, dass sie - ungeachtet der Werbeform - jeder Zeit einwenden kann. Jeder Einspruch führt dazu, dass die Verarbeitung personenbezogener Nutzerdaten verboten wird. Durch die DSGVO verstärkt die EU-Kommission die Rechte der Betroffenen auf Löschungen ihrer eigenen Dateien - vor allem der im Netz veröffentlichten.

Daher ist es notwendig, die eigenen Abläufe so anzupassen, dass es möglich ist, einem Löschauftrag zu folgen und damit die Löschung der Altdaten. Sind andere Unternehmen beteiligt, so ist auch die Pflicht gegeben, sie über den Löschungsantrag zu unterrichten. Ausschlaggebend ist die Erkennbarkeit solcher Aufzeichnungen, damit im Notfall - wenn altersbedingt besondere Vorschriften gelten - sofort gehandelt werden kann.

Es bleibt bei der bereits im BDSG a. F. verankerten Pflicht, personenbezogene Nutzerdaten zu vernichten, sobald sie nicht mehr verwendet werden. Die Weiterverarbeitung ist nur zulässig, wenn eine rechtliche Grundlage vorlieg. In Zukunft hat die betroffenen Personen das Recht, ihren "Datensatz", der alle erhobenen persönlichen Informationen beinhaltet, aufzubewahren.

Daraus ergibt sich eine Übergabepflicht, d.h. Unternehmen müssen sich auf Verlangen an die Veröffentlichung oder Weitergabe der Informationen halten. Eine konkrete Norm für ein Dateiformat ist noch nicht festgelegt und wird es vielleicht auch nie geben. Hierfür gibt es einen konkreten Maßstab. In Unternehmen ist es von entscheidender Bedeutung, die tatsächlichen Informationen abzurufen, in ein passendes Dateiformat zu konvertieren und an den Adressaten zu liefern.

Nach der EU DSGVO müssen die Angaben verarbeitet werden. Dabei muss der Controller zwei grundlegende Punkte beachten. Erstens, die Identifizierung von mit der Datenverarbeitung verbundenen Gefahren, die zu Verletzungen der EU DSGVO und damit zu Verletzungen der DSGVO in der EU beitragen können. Die neue Richtlinie schreibt vor, dass Unternehmen ihre Verfahren so auslegen müssen, dass sie als datenschutzgerecht angesehen werden.

Das bedeutet, dass nur solche Informationen erfasst und weiterverarbeitet werden, die für den entsprechenden Verwendungszweck wirklich notwendig sind. Es ist für die Unternehmen von Bedeutung zu wissen, dass das von der Kommision festgelegte Ziel nicht nur für die Umfrage selbst zutrifft. Gleiches trifft auf alle nachfolgenden Verarbeitungsprozesse zu. Außerdem ist der Zugang zu den Angaben zu beachten.

Auch für die Speicherdauer ist in den datenschutzrechtlichen Vorgaben ein entsprechend definierter Zeitraum vorgesehen. Nichtsdestotrotz birgt sie eine Reihe von Innovationen, die von den Unternehmen berücksichtigt werden müssen. Gleichzeitig geht es einher mit strengen Dokumentationsanforderungen, vor allem für den Verarbeiter. Er ist auch verpflichtet, Datenverluste zu meldet. Durch die gleichberechtigte Vertretung beider Parteien kann die Gemeinsame Kontrolle ein geeigneter Rechtsbehelf für den Austausch von Daten in Gruppen sein.

Hierauf aufbauend sind die Organe befugt, die betreffenden Angaben miteinander zu tauschen und zu verarbeit. Außerdem ist im Begleitdokument anzugeben, wie die Zuständigkeiten beider Organe aufgeteilt sind, wie die Rechte der betroffenen Personen geschützt sind, wie die Informationspflichten wahrgenommen werden, wie der Ansprechpartner für die betreffenden Personen ist und welche Funktionalitäten und Verbindungen mit der betreffenden Person existieren.

Der wesentliche Inhalt der Übereinkunft ist auch der betreffenden Partei zu unterbreiten. Wenn ein Betroffener durch eine Verletzung des Datenschutzes einen Verlust erleiden musste, ist es für ihn einfacher, seine Forderungen durchzusetzen. Anders als im BDSG ist der Datenverantwortliche nicht mehr allein verantwortlich - nach der EU DSGVO können sowohl er als auch der Verarbeiter dafür aufkommen.

Der Kontrolleur oder Verarbeiter kann von der Verantwortlichkeit befreit werden, wenn die betreffende Einrichtung nachweist, dass sie nicht verantwortlich ist. Die Erhebung und Bearbeitung persönlicher Angaben birgt das Verlustrisiko, d.h. Fehler können die Rechte der betroffene Person verletzen.

Zu den möglichen Gründen gehören z.B. Datenausfälle oder Angreifer. Die Europäische Union DSGVO verpflichtet die Europäische Union zur Meldung von Datenschutzverstößen. Es ist sowohl die betreffende Person als auch die verantwortliche Kontrollstelle zu unterrichten. Die betreffenden Personen sind unverzüglich zu benachrichtigen, die Aufsichtsstelle innerhalb von 72 Zeiträumen.

Die betroffene Person muss über die Verletzungsart und den Ansprechpartner informiert werden, an den sie sich für weitere Fragen mitteilt. Dazu sind die Kontaktangaben des Beauftragten für den Datenschutz und - falls für die internen Prozesse erforderlich - einer anderen aufzuführen. Ferner muss in der Meldung auf die möglichen Auswirkungen des Verstoßes und die geplanten Abhilfemaßnahmen oder mindestens die Begrenzung des Schadens hingewiesen werden.

Für Unternehmen stellt sich die Aufgabe, mehrere Abläufe gleichzeitig zu implementieren und zu vernetzen. Nur so können Datenverstöße erkannt und die notwendigen Schritte eingeleitet werden. Der Datenschutz, vor allem im Bereich der IT-Systeme, hat für das EU-Parlament einen hohen Stellenwert. Nach der Grundverordnung zum Datenschutz sind Unternehmen zu technischen und organisatorischen Massnahmen angehalten, die vom Verarbeitungszweck und dem jeweils aktuellen Kenntnisstand abhängen und einen ausreichenden Datenschutz garantieren.

Ein wesentlicher Fortschritt ist, dass bei der Konzeption und Durchführung von Datenverarbeitungsmaßnahmen bereits eine Risikobewertung durchgeführt werden muss. Dabei wird die bisher durchgeführte Vorabprüfung nach BDSG durch die Datenschutzfolgenabschätzung ersetzt. Anhand der Bewertung wird bestimmt, welche technische und organisatorische Maßnahme zum Schutze der Datensysteme geeignet ist. Nach dem alten BDSG mussten Unternehmen Schutzmassnahmen aus dem Risiko ableiten, weshalb sie verschiedene Kontrollmassnahmen (z.B. Zugangskontrollen) vorschrieben.

Die EU-Datenschutzverordnung dagegen legt sicherheitstechnische Ziele fest: Werden zur Gewährleistung der Verarbeitungssicherheit in technischen Systemen verwendet, müssen diese regelmässig überprüft werden. In der ersten steht, dass zur Vermeidung von Datensätzen mit technischen Mitteln (z.B. Pseudonymisierung) zu rechnen ist. Der Datenschutz dagegen ist bestrebt, in IT-Systemen Standardeinstellungen vorzunehmen, die eine Datenverarbeitung nur dann ermöglichen, wenn sie für den entsprechenden Verwendungszweck erforderlich ist.

Dem BDSG war das Vorabkontrollverfahren bekannt, mit dem geprüft wird, ob die Verfahren zur automatischen Bearbeitung persönlicher Angaben den Datenschutzbestimmungen genügen. Das Data Protection Impact Assessment kann als erweiterter Rechtsnachfolger angesehen werden. Bei der Folgenabschätzung zum Datenschutz muss der für die Verarbeitung Verantwortliche die Durchführung übernehmen. Diese Bewertung ist obligatorisch, sobald absehbar ist, dass die Rechte und Pflichten der betroffenen Person durch die Bearbeitung gefährdet sind.

Als besonders schutzwürdig erweisen sich die Angaben (z.B. Biometrie oder Angaben von Minderjährigen). Dabei erfolgt eine aufwändige Datenaufbereitung (z.B. in Gestalt einer weitreichenden Datenverbindung). Darüber hinaus ist eine Folgenabschätzung zum Datenschutz obligatorisch, wenn die Bearbeitung eine umfassende Beurteilung der persönlichen Gesichtspunkte beinhaltet und zu einer rechtswirksamen Entscheidungsfindung führen kann.

Gleiches trifft auf die Datenverarbeitung zu, die zu speziellen Personenkategorien gehören oder mit strafrechtlichen Handlungen oder Urteilen verbunden sind. In der Regel ist die Datenschutzfolgenabschätzung mit einer umfassenden Dokumentierung verbunden. Die Verarbeitungen müssen detailliert beschrieben und gleichzeitig der Sinn und Zweck sowie das rechtmäßige Nutzungsinteresse der Verarbeitungen angegeben werden. Darüber hinaus ist die Erforderlichkeit und Angemessenheit der Datenverarbeitung zu belegen.

Eine weitere Komponente ist die Darstellung, ob und wenn ja, wie die Rechte und Pflichten der betreffenden Person gefährdet sind. Sind keine Schutzmassnahmen vorgesehen und ergibt sich aus der damit verbundenen Bewertung gleichzeitig ein erhöhtes Gefährdungspotential, so ist der Sachbearbeiter einer Beratungspflicht unterworfen. Sind jedoch Sicherheitsmaßnahmen vorgesehen, so existiert diese Pflicht nicht.

Die Erfassung und Bearbeitung von personenbezogenen Merkmalen ist nur dann zulässig, wenn sie unbedingt notwendig ist oder der Geschäftsprozess dies erfordert. Darüber hinaus muss sich die Erfassung und Bearbeitung auf die im Rahmen des Verfahrens erforderlichen Angaben beschränk. Prinzipiell muss die Zustimmung der betreffenden Person vorlagen. Mit der Grundverordnung zum EU-Datenschutz werden die Vorschriften für die Einholung der Zustimmung gestrafft.

Die betroffenen Personen müssen ihre Zustimmung zu jeder Zeit schriftlich und schriftlich wiederrufen können. Erhält ein Unternehmen beispielsweise aufgrund seiner Vertriebskanäle die Zustimmung im Internet und per Telefon, muss der Widerspruch auf beiden Wegen möglich sein. Durch die vom EU-Parlament verabschiedete Datenschutz-Grundverordnung sind Unternehmen mit großen Innovationen konfrontiert worden. Zahlreiche Veränderungen sind aus technischer Hinsicht kompliziert und machen es daher notwendig, sich intensiv mit den juristischen Aspekten des Datengeheimnisses zu befassen.

Angesichts der Projektgröße dürfen Unternehmen keine Zeit verlieren. Zur Gewährleistung eines angemessenen Datenschutzniveaus ist es notwendig, die für den Datenschutz relevanten Verfahren zu agieren und umzustellen. Ausschlaggebend sind diese Massnahmen auch deshalb, weil die EU DSGVO mit einem höheren Haftpflichtrahmen und höheren Bußgeldern bei Datenschutzverletzungen einhergeht. Je nach Grösse und Gesellschaftsform des Unternehmen können die Bussgelder auch an den jährlichen Umsatz gebunden sein.

Gleichzeitig ist abzusehen, dass die Kontrollbehörden die Datenverarbeitung im Rahmen der Direktive wesentlich stärker kritisieren werden. Sie haben noch weitere Informationen zur EU-Datenschutz-Grundverordnung? Für weitere Informationen zur DSGVO sind wir als Datenschutzbeauftragter immer ansprechbar.