News

Beratung mit System - Lösungen für Managementsysteme

Neues Datenschutzrecht tritt am 25. Mai 2018 in Kraft

Erstellt von Uwe Schmalenbach |

Ab dem 25. Mai 2018 werden die Regelungen der Datenschutz-Grundverordnung (DSGVO) geltendes Recht in allen Staaten der Europäischen Union (EU).

Das deutsche "BDSG neu" (Bundesdatenschutzgesetz) tritt ebenfalls am 25. Mai 2018 in Kraft.

Die DSGVO bezieht sich auf die Verarbeitung personenbezogener Daten natürlicher Personen.
Bußgelder bis 20 Millionen € oder 4 % des Jahresumsatzes werden möglich und die Datenschutzaufsichtsbehörden erhalten umfangreichere Befugnisse.
 
Folgende Regelungen sind zu beachten:

  • Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Einwilligung oder eine in der DSGVO normierte Ausnahme vor (Verbot mit Erlaubnisvorbehalt). Eine solche Ausnahme kann z. B. die Erfüllung einer rechtlichen Verpflichtung sein.
  • Die Verarbeitung personenbezogener Daten muss auf das für den Zweck der Verarbeitung notwendige Maß beschränkt, angemessen und sachlich relevant sein (Datensparsamkeit).
  • Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden (Zweckbindung).
  • Ein Unternehmen muss geeignete technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen (Datensicherheit).
  • Eine Datenschutzverletzung personenbezogener Daten muss unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Datenschutzbehörde gemeldet werden, wenn persönliche Rechte und Freiheiten des Betroffenen verletzt wurden.
  • Es bestehen Auskunftspflichten über den Zweck und die Rechtsgrundlage der Datenverarbeitung (Betroffenenrechte).
  • Ein Datenschutzbeauftragter ist u. a. zu benennen, wenn ein deutsches Unternehmen mehr als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder wenn ein Unternehmen eine Datenschutz-Folgenabschätzung durchführen muss (Datenschutzbeauftragter).

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist u.a. in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling)
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Zurück