Die neue Datenschutz-Grundverordnung (DSGVO)

Die neue Datenschutz-Grundverordnung (DSGVO)

11 Juni 2018 - 10:00
0 Kommentare
© Brad Pict / Fotolia.com

Ab dem 25. Mai 2018 gilt ein einheitliches Datenschutzrecht innerhalb der Europäischen Union. Rechtsgrundlage hierfür ist die neue Datenschutz-Grundverordnung (DSGVO), die ab dem 25. Mai 2018 in Kraft tritt. 

Wer die neuen Regelungen hinsichtlich des Datenschutzes nicht beachtet, kann durch die Datenschutzaufsichtsbehörden abgemahnt werden. Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen in einer Höhe von bis zu 20 Millionen Euro festgesetzt werden, bei Unternehmen alternativ mit Geldbußen von bis zu 4 % des Weltjahresumsatzes. 

Wer ständig mit Daten von Mandanten, Mitgliedern, Mitarbeitern, Patienten oder Kunden zu tun hat, muss dafür Sorge tragen, dass er der Umgang mit diesen personenbezogenen Daten mit der Rechtsverordnung vereinbar ist.

Die Datenschutz-Grundverordnung (DSGVO) gilt sowohl für Unternehmen (groß oder klein), freiberuflich Tätige, Vereine und ähnliche Organisationen. Wichtig ist, dass diese stets mit personenbezogenen Daten zu tun haben.

In Art. 4 der DSGVO https://dejure.org/gesetze/DSGVO/4.htmlsind die einzelnen Begriffsbestimmungen der Datenschutz-Grundverordnung enthalten und können herangezogen werden.

Eröffnung des sachlicher Anwendungsbereiches der DSGVO

Die DSGVO gilt gem. Art. 2 Abs. 1 DSGVOhttps://dejure.org/gesetze/DSGVO/2.htmlfür die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 

Gem. Art. 4 Nr. 1 DSGVOhttps://dejure.org/gesetze/DSGVO/4.htmlsind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Verarbeiten ist dabei ein umfassender Begriff für den Umgang mit personenbezogenen Daten. Er umfasst das Erheben, Speichern, Ändern, Übermitteln, Verknüpfen oder Löschen der Daten.

Ausgeschlossen ist die Verarbeitung von personenbezogenen Daten für ausschließlich persönlichen oder familiären Tätigkeiten aus dem sachlichen Anwendungsbereich der DSGVO.

Weitere Ausschlüsse der Anwendung des DSGVO befinden sich in Art. 2 https://dejure.org/gesetze/DSGVO/2.htmlder DSGVO.

Welche Neuerungen kommen mit der neuen DSGVO?

  • Pflicht zur Erstellung einesVerzeichnisses über alle Verarbeitungstätigkeiten(Das Unternehmen oder der Verein  muss ein Verzeichnis über alle Verarbeitungstätigkeiten anfertigen. Es muss also dokumentiert werden, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird.)
  • Rechenschaftspflicht
  • Benennung eines Datenschutzbeauftragten
  • Geldbuße oder Schadensersatz bei Verstößen gegen die neue DSGVO

 

Das Verzeichnis über alle Verarbeitungstätigkeiten

Im nachfolgenden werden kurz alle wichtigen Punkte über das Verzeichnis über alle Verarbeitungstätigkeiten aufgezeigt.

Freistellung von der Pflicht zur Erstellung eines Verzeichnisses 

Im Rahmen jeder Pflicht existieren auch Ausnahmen, so auch die Ausnahme von der Pflicht zur Erstellung eines Verzeichnisses über alle Verarbeitungstätigkeiten. Die Freistellung besteht für Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Sie gilt jedoch nur dann, wenn die Verarbeitung nur gelegentlich erfolgt und auch keine besonderen Datenkategorien wie Gesundheits- oder Religionsdaten verarbeitet werden.

Nichtöffentlichkeit des Verzeichnisses über die Verarbeitungstätigkeiten

Das Verzeichnis ist nicht öffentlich mit der Folge, dass der betroffenen Person auch nicht offengelegt werden muss. Das Verzeichnis gilt für die eigene Qualitätskontrolle und zur Vorlage der Aufsichtsbehörde, falls diese einen Nachweis darüber haben möchte, wie das Unternehmen oder der Verein mit  personenbezogenen Daten umgeht.

Form des Verzeichnisses

Das Verzeichnis ist in der Regel in deutscher Sprache zu führen. Sie kann schriftlich oder elektronisch erfolgen. Aber ein bestimmtes Datenschutzmanagementsystem schreibt das DSGVO nicht vor.

Aktualisierung des Verzeichnisses

Das Verzeichnis muss stets aktuell sein. Jedoch besteht gleichzeitig auch die Pflicht der Aufsichtsbehörde die Aktualisierung nachzuweisen, sodass die bereits vorhandenen Eintragungen nicht überschrieben werden dürfen. Zumindest sollte für einen Zeitraum von einem Jahr nachgewiesen werden können, welche Änderungen erfolgt sind.

Inhalt des Verzeichnisses

Das Verzeichnis muss mindestens die Bestandteile haben, die in Art. 30 Abs. 1 DSGVO genannt sind.

Diese sind:

  • Name und Kontaktdaten des Verantwortlichen,
  • Zwecke der Verarbeitung,
  • Beschreibung der Kategorien betroffener Personen und Kategorien personenbezogener Daten,
  • Kategorien von Empfängern von Daten einschließlich Empfänger in Drittstaaten und
  • wenn möglich, vorgesehene Fristen zur Löschung.

 

Erweitertes Verzeichnis

Da das Verzeichnis auch den Zweck erfüllen soll, sich selbst einen Überblick zu verschaffen, was im eigenen Unternehmen oder Verein geschieht, welche Daten verarbeitet werden, kann in Vergleich zu den Mindestanforderungen nach Art. 30 Abs. 1 DSGVO ein erweitertes Verzeichnis erstellt werden, in dem zusätzlich die konkreten Verarbeitungstätigkeiten i.S.d. Definition in Art. 4 Nr. 2 DSGVO https://dejure.org/gesetze/DSGVO/4.htmlbeschrieben werden und die herangezogenen Rechtsgrundlagen (z.B. Art. 6 DSGVO https://dejure.org/gesetze/DSGVO/6.html, Arbeitsvertrag, Betriebsvereinbarung, Dienstvertrag oder Einwilligung usw.) ausgeführt werden.

Muster eines Verzeichnisses von Verarbeitungstätigkeiten

Die Aufsichtsbehörden des Bundes und der Länder haben ein Verzeichnis empfohlen, an dem sich  die Unternehmen orientieren können. Insbesondere stellt das Bayerische Landesamt für Datenschutzaufsicht Muster bereit.

Grundsätze für die Verarbeitung personenbezogener Daten

Prinzip des Verbots mit Erlaubnisvorbehalt

Im Datenschutz gilt das Verbot mit Erlaubnisvorbehalt. Das heißt, dass niemand mit personenbezogenen Daten von anderen umgehen darf, d.h. Daten erheben, speichern oder weitergeben darf, wenn er nicht über eine ausdrückliche Einwilligung der betroffenen Person verfügt oder aber sich auf eine Rechtsgrundlage berufen kann.

Gem. Art. 4 Nr. 11 DSGVO https://dejure.org/gesetze/DSGVO/4.htmlist eine Einwilligung jede freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Darf man jedoch mit Daten umgehen, so muss sichergestellt werden, dass dabei insbesondere die Zweckbindung,Richtigkeitund Erforderlichkeitbeachtet werden und nicht zuletzt darüber Rechenschaft abgelegt werden kann.

 

Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten

Gem. Art. 6 Abs. 1 DSGVO https://dejure.org/gesetze/DSGVO/6.htmlist die Verarbeitung nur dann rechtmäßig, wenn die betroffene Person eine Einwilligung erteilt hat, die Verarbeitung für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich ist oder wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen der betroffenen Person überwiegen.

Die Verarbeitung personenbezogener Daten darf nur für die konkret festgelegten Zwecke erfolgen, auch wenn eine Einwilligung vorliegt (Zweckbindung).

Es dürfen nur die personenbezogenen Daten erhoben und gespeichert werden, die benötigt werden, um den zulässigen Zweck zu erreichen (Zweckerreichung). 

Personenbezogene Daten, die nicht mehr für die Zweckerreichung erforderlich sind und für die es keine sonstigen Aufbewahrungsvorschriften mehr gibt, sind zu löschen oder aber so zu ändern, dass jeglicher Personenbezug wegfällt (Erforderlichkeit der Speicherung). 

Zudem müssen die personenbezogenen Daten sachlich richtigsein und der Verantwortliche muss sicherstellen, dass die Daten in angemessenen Abständen auf ihre Aktualität überprüft werden.

Wirksamkeit der Einwilligung

Die Einwilligung ist nur dann wirksam, wenn sie freiwilligabgegeben wird, sie für einen bestimmten Zweck abgegebenwird, die betroffene Person klar und verständlich informiert wurde(für welchen Zweck er die Daten erteilt), die betroffene Person darüber informiert wurde, dass sie die Einwilligung jederzeit widerrufen kann(ohne dass sie einen Grund angeben muss) und die Einwilligung schließlich durch eine eindeutig bestätigende Handlung erfolgt.

Im Internet sollte dies durch die opt-in Variante erfolgen, d.h. wenn die Person selbst ein Ankreuzen des Kästchens vornimmt.

Rechenschaftspflicht

Im DSGVO ist die Rechenschaftspflicht neugeregelt. In Zukunft müssen die Verantwortlichen nicht nur die oben genannten datenschutzrechtlichen Grundsätze einhalten (das war nämlich auch bis her so), sondern sie müssen auch deren Einhaltung bspw. gegenüber den Aufsichtsbehörden nachweisen können.

Denn ab dem 25. Mai 2018 kann die Aufsichtsbehörde von dem Verantwortlichen verlangen, dass er durch Vorlage einer schriftlichen Dokumentation nachweisen muss, welche personenbezogenen Daten von den betroffenen Personen verarbeitet, auf welcher Rechtsgrundlage er dies konkret macht, für welchen Zweck er die Daten verwendet und wie lange er sie noch speichern möchte.

Was ist eine Auftragsverarbeitung?

Gem. Art. 4 Nr. 8 DSGVO https://dejure.org/gesetze/DSGVO/4.htmlist ein "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Mit der Folge, dass der Verantwortliche die personenbezogenen Daten an jemand anderes außerhalb seines Unternehmens weitergibt oder dein Einblick in die eigene Datenerhebung gewährt.

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet., gem. Art. 28 Abs. 1 DSGVO https://dejure.org/gesetze/DSGVO/28.html.

Das bedeutet: Wer einen Auftragsverarbeiter einschaltet, muss sich bewusst sein, dass er auch für dessen Fehlverhalten haftet.

Für die Auftragsverarbeitung ist ein Vertrag zwischen dem Unternehmen und dem Auftragsverarbeiter zu schließen, der insbesondere das Weisungsrecht des Verantwortlichen festschreibt sowie beschreibt, was der Auftragsverarbeiter machen soll, ihn zur Vertraulichkeit und Einhaltung der Sicherheit der Verarbeitung verpflichtet und schließlich festlegt, was mit den Daten nach Beendigun der Auftragsverarbeitung geschehen soll.

Der Auftraggeber muss sich bei dem Auftragsverarbeiter umfangreiche Kontrollrechte einräumen lassen. So muss es möglich sein, dass er ohne Vorankündigung Kontrollen vor Ort durchführt. 

Eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag hat das Bayerische Landesamt für Datenschutz zusammengestellt:

https://www.lda.bayern.de/media/muster_adv.pdf

Auftragsverarbeitung nach § 11 DSGVO https://dejure.org/gesetze/DSGVO/11.html:

https://www.lda.bayern.de/media/info_adv.pdf

 

Die Sicherheit der Verarbeitung

Aus dem DSGVO ist zu entnehmen, dass sie eine große Bedeutung der Sicherheit der Verarbeitung von personenbezogenen Daten zukommt.

Daher müssen vorbeugende Maßnahmen unternommen werden, die ein angemessen Schutz gewährleisten. Dabei spielt die IT-Sicherheit eine große Rolle gegenüber den Hacking-Attacken und damit der unwillkürlichen und ungewollten Verbreitung der personenbezogenen Daten.

Art. 32 DSGVO https://dejure.org/gesetze/DSGVO/32.htmlregelt die Schutzziele der IT-Sicherheit:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Datenschutzbeauftragter

Nach der neuen gesetzlichen Lage muss unter bestimmten Umständen ein Datenschutzbeauftragter ernannt werden. Dies gilt sowohl für Unternehmen als auch für Vereine.

Die Verantwortung dafür, dass der Datenschutz nach dem DSGVO  eingehalten wird, geht dabei nicht auf diesen über, sondern verbleibt beim Verantwortlichen. Denn Datenschutz ist Chefsangelegenheit.

Der Datenschutzbeauftragte unterstützt dabei das Unternehmen oder den Verein bei Einhaltung der Grundsätze des Datenschutzes. 

Die Aufgaben des Datenschutzbeauftragten sind dabei in Art. 39 Abs. 1 DS-GVO https://dejure.org/gesetze/DSGVO/39.htmlgeregelt:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten,
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen,
  • Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO https://dejure.org/gesetze/DSGVO/35.html,
  • Zusammenarbeit mit der Aufsichtsbehörde und
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO https://dejure.org/gesetze/DSGVO/36.html, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Voraussetzungen für die Benennung eines Datenschutzbeauftragten

Welche Voraussetzungen für die Benennung eines Datenschutzbeauftragten notwendig sind, sind in Artikel 37 Abs. 1 DSGVO https://dejure.org/gesetze/DSGVO/37.htmlund in § 38 BDSG-neu enthalten.

  • im Unternehmen oder im Verein müssen mindestens zehn Personen beschäftigt sein, die mit der automatisierten Verarbeitung personenbezogener Daten tätig sind oder
  • wenn im Unternehmen oder im Verein nicht mindestens zehn Personen beschäftigt sind, die mit der automatisierten Verarbeitung personenbezogener Daten tätig sind, jedoch mit Daten über Gesundheitsdaten, Daten zum Sexualleben oder sexuellen Orientierung, genetische Daten, Daten, aus denen politische Meinungen hervorgehen, Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht oder Daten über strafrechtliche Verurteilung oder Straftaten verarbeitet werden und diese Verarbeitung der Daten  eine Kerntätigkeit des Unternehmens oder Vereins ist oder
  • wenn es zur Kerntätigkeit des Unternehmens oder Vereins gehört, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen.

 

Eine automatisierte Verarbeitung nach § 38 Abs. 1 BDSG-neu liegt immer dann vor, wenn jemand am PC, Laptop oder sonst mit einem EDV-Gerät mit Daten von Personen umgeht. Unabhängig davon, ob diese Personen dafür bezahlt werden oder diese Tätigkeit ehrenamtlich vornehmen.

Die Verarbeitung bestimmter Daten gehört dann zur Kerntätigkeiteines Unternehmens oder Vereins, wenn der Zweck des Unternehmens oder Vereins sonst nicht erreicht werden könnte.

Auch, wenn die Voraussetzungen für die Benennung eines Datenschutzbeauftragten im Unternehmen oder im Verein nicht vorliegen, ist jedoch die Benennung gem. Art. 37 Abs. 4 S. 1 Halbsatz 1 DSGVO  https://dejure.org/gesetze/DSGVO/37.htmlmöglich.

Denn unabhängig von der Benennung eines Datenschutzbeauftragten ist die Einhaltung der Grundsätze des Datenschutzes nach dem DS-GVO eine Pflicht.

Wie kann der Verantwortliche einen Datenschutzbeauftragten ernennen?

Das Gesetz schreibt zwei Varianten vor:

  1. der Verantwortliche beauftragt damit einen eigenen Mitarbeiter oder
  2. der Verantwortliche beauftragt einen externen Dienstleister.

Beide Varianten sind gem. Art. 37 Abs. 6 DSGVO https://dejure.org/gesetze/DSGVO/37.htmlgleichwertig.

Der eigene Mitarbeiter kann die Funktion als Datenschutzbeauftragte neben anderen Aufgaben und Pflichten wahrnehmen, gem. Art. 38 Abs. 6 DSGVO https://dejure.org/gesetze/DSGVO/38.html. Es darf jedoch nicht zu einem Interessenkonflikt führen Art. 38 Abs. 6 Satz 2 DSGVO https://dejure.org/gesetze/DSGVO/38.html.

Eine formale Bestimmung wie die Benennung zu erfolgen hat, ist nicht vorgeschrieben. Es wird jedoch empfohlen, sie schriftlich zu durchzuführen und später gegenüber der Aufsichtsbehörde Beweise vorbringen zu können.

 

Das Gesetz sieht vor, dass der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitteilt, gem. Art. 37 Abs. 7 DSGVO https://dejure.org/gesetze/DSGVO/37.html.

Zudem muss der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Dies soll ermöglichen, dass sich die Betroffenen an den Datenschutzbeauftragten werden können.

Betroffenenrechte

Rechte und Freiheiten natürlicher Personen umfassen die Grundrechte und Grundfreiheiten, die durch die Europäische Menschenrechtskonvention (EMRK) und die EU-Grundrechtecharta geschützt werden.  Das DSGVO schützt genau diese Rechte und Freiheiten natürliche Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Daher sieht das DSGVO zahlreiche Betroffenenrechte in Art. 12 DSGVO https://dejure.org/gesetze/DSGVO/12.html vor. Der Verantwortliche muss geeignete Maßnahmen treffen, um die Betroffenenrechte erfüllen zu können. Er muss sie unverzüglich, spätestens innerhalb eines Monats erfüllen.

  • transparente Information gem. Art. 12 Abs. 1 DSGVOhttps://dejure.org/gesetze/DSGVO/12.html  (es muss präzise, transparent, verständlich und leicht zugänglicher Formin einer einfachen und klaren Sprache formuliert werden, für welchen Zweck die personenbezogenen Daten notwendig sind, bevor die Daten erhoben werden),
  • Dauer der Speicherung der Daten oder Kriterien zur Löschung,
  • Hinweis, dass eine Einwilligung jederzeit grundlos widerrufen werden kann und
  • Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.
  • Auskunftsrecht der betroffenen Person erst nach Antragsstellung beim Verantwortlichen, beinhaltet eine Abschrift, d.h. eine schriftliche oder elektronische Zusammenfassung, die der betroffenen Person mitgeteilt werden muss (mit Informationen über Zweck der Verarbeitung, Kategorien personenbezogener Daten, Empfänger der Daten, geplante Speicherdauer und Hinweis auf sonstige Betroffenenrechte und Beschwerdemöglichkeit bei der Aufsichtsbehörde) und
  • diese Auskunft muss der Verantwortliche der betroffenen Person kostenlos zur Verfügung gestellt werden.

 

Verletzung des Schutzes personenbezogener Daten

Ist es zu einer Verletzung des Schutzes personenbezogener Daten gekommen, dann muss der Verantwortliche dies der zuständigen Aufsichtsbehörde melden. Dies muss er unaufgefordert von sich aus tun. So legt es Art. 33 Abs. 1 Satz 1 DSGVO https://dejure.org/gesetze/DSGVO/33.htmlfest. Das Melderecht gilt bereits dann, wenn erste belastbare Informationen vorliegen. Dabei muss es nicht notwendig sein, dass die Informationen bereits vollständig sind.

Der Verantwortliche muss sich alle Punkte dokumentieren, die im Zusammenhang mit einer Schutzverletzung stehen, gem. Art. 33 Abs. 5 Satz 1 DSGVO https://dejure.org/gesetze/DSGVO/33.html. Fehlt diese, kann dies auch zu einem Bußgeld führen.

Dabei muss die Meldung innerhalb von 72 Stunden an die Aufsichtsbehörde erfolgen, nachdem die Verletzung bekannt wurde.

Der Inhalt der Meldung ist gem. Art. 33 Abs. 2 DSGVO https://dejure.org/gesetze/DSGVO/33.htmlgeregelt.

 

Unterlässt der Verantwortliche die Meldung, droht ein erhebliches Bußgeld (Art. 83 Abs. 4 a DSGVO https://dejure.org/gesetze/DSGVO/83.html). Sie entfällt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Hierfür werden sicherlich die Aufsichtsbehörden entsprechende Online-Meldeformulare zur Verfügung stellen. 

Die betroffene Person, dessen Recht auf Schutz personenbezogener Daten verletzt ist, muss dann benachrichtigt werden, wenn die Schutzverletzung voraussichtlich ein hohes Risiko für die persönliche Rechte und Freiheiten zur Folge hat (Art. 34 Abs. 1 DSGVO https://dejure.org/gesetze/DSGVO/34.html).

Dies gilt dann nicht, wenn durch den Verantwortlichen vorbeugende Maßnahmen getroffen wurden, d.h. geeignete technische und organisatorische Sicherheitsvorkehrungen, gem. Art. 34 Abs. 2 Satz 1 a DSGVO https://dejure.org/gesetze/DSGVO/34.html. Es kommt eine ausreichende Verschlüsselung aller personenbezogenen Daten in Betracht. Diese verhindert die Kenntnisnahme der Daten durch Unbefugte.

Sanktionen und Haftung bei Verstößen gegen die Grundsätze der Datenschutz-Grundverordnung

Die bisher geltenden Regelungen sind verschärft worden. In Art. 83 DSGVO https://dejure.org/gesetze/DSGVO/83.htmlsind Bestimmungen für Geldbußen und Bestimmungen für Schadensersatzansprüche in Art. 82 DSGVO https://dejure.org/gesetze/DSGVO/82.htmlenthalten. 

Ergänzt werden diese Regelungen durch das neue BDSG in den § 42 und § 43.

Die Höchstgrenze für Geldbußen liegt bei 20. Mio. EUR oder bei 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Welche Rolle spielen dabei die Aufsichtsbehörden?

Sie können zum einen natürlich Sanktionen erlassen, die Verzeichnisse anfordern, aber auch beraten und Hilfestellungen leisten.

 

Artikel bewerten: 
Durchschnitt: 4.7 (3 Bewertungen)

JuraRat Newsletter

Erhalten Sie 1x monatlich unsere kostenlosen Rechtstipps!

Nicht gefunden, was Sie gesucht haben? Hier auf JuraRat kostenlos und schnell Frage stellen!