Informationen zum Datenschutz

Die neue EDS-GVO

EU-Datenschutz-Grundverordnung
Was sind die zentralen Anforderungen der EDS-GVO?
  • Meldepflicht für Datenschutzverletzungen – Eine Neuerung der EDS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zu-ständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert wer-den, sofern der Vorfall „voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Frei-heiten“ zur Folge hat.
  • Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der EDS-GVO.
  • Privacy by Design – Privacy-by-Design-Prinzipien spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien wie die Minimierung der er-fassten und gespeicherten personenbezogenen Daten sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.
  • Recht auf Vergessen Werden und auf Löschung – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die EDS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene Recht auf „Vergessen Werden“.

Geldbußen

alles zum Thema Abstrafungen

abgestuftes Sanktionssystemabgestuftes Sanktionssystem

Die EDS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße kön-nen mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsat-zes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere „Privacy by Design“. Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Un-ternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbe-hörde und betroffene Personen nicht über eine Datenschutzverletzung informie-ren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durch-aus kostspielig werden.

Die EDS-GVO ist ein komplexes GesetzDie EDS-GVO ist ein komplexes Gesetz

Die EDS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustim-men, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer da-rauf zugreifen kann und welche Berechtigungen erteilt wurden.

DatenerhebungDatenerhebung

Es dürfen nur Daten erhoben werden, die für die Erbringung eines Dienstes wirklich benötigt werden.

DatenverarbeitungDatenverarbeitung

Kundendaten dürfen nur verarbeitet und genutzt werden, wenn der Kunde das auf Grundlage der Geschäftsbeziehung zum Unternehmen erwarten kann, nicht aber durch ein „unbeteiligtes“ drittes Unternehmen.

DatenschutzbehördenDatenschutzbehörden

Die Datenschutzbehörden koordinieren sich europaweit untereinander. Unternehmen müssen sich nur noch mit der Aufsichtsbehörde im Land ihres Hauptsitzes auseinandersetzen.

meldepflichtige Vorfällemeldepflichtige Vorfälle

Unternehmen müssen einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichti-gen, also schneller über Datenlecks informieren. Außerdem können künftig Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden.

Neue Risiko- und FolgenabschätzungenNeue Risiko- und Folgenabschätzungen

Neue Risiko- und Folgenabschätzungen lösen die bisherige Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten ab.

Weitergabe von DatenWeitergabe von Daten

Für die Weitergabe von Daten an ausländische Behörden von Drittstaaten gelten strenge Vor-schriften.

Eine ÖffnungsklauselEine Öffnungsklausel

Eine Öffnungsklausel ermöglicht den EU-Staaten individuelle Regelungen: Deutschland behält den Datenschutzbeauftragten

Betroffenen Personen werden erweiterte Beschwerde- und Rechtsschutzmöglichkeiten über ihre nationalen Ansprechpartner zugesprochen.

Wissen

weitere wichtige Informationen

Verbraucherschutz warnt vor Windows 10

Das Windows nicht sonderlich viel von Datenschutz hält, dürfte nichts Neues sein. In einem neuen Artikel warnt nun der Verbraucherschutz Rheinland-Pfalz vor genau diesem. Laut dem Artikel handle es sich um „eine Art private Abhöranlage“.

Quelle: www.techniksurfer.de

01

IT- Sicherheit: Verändertes Prüfverhalten der Datenschutz-Aufsichtsbehörden

Die Datenschutz-Aufsichtsbehörden legen bei der Prüfung von Unternehmen zunehmend ihren Focus auf den Bereich IT-Sicherheit. Zuletzt hatte die bayrische Datenschutz-Aufsichtsbehörde stichprobenartig Mail-Server auf technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben.

02

Bußgeld bei fehlerhaftem Vertrag zur Auftagsdatenverarbeitung

Das Bayrische Landesamt für Datenschutzaufsicht hat nach eigener Information im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftagsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt.

Quelle: www.iitr.de

Werden personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet, ist gemäß § 11 BDSG ein Vertrag zur so genannten Auftragsdatenverarbeitung abzuschließen.

03

Google Analytics datenschutzkonform einsetzen

Die Datenschutzbehörden diskutieren schon seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics. Auf Grundlage der im November 2009 beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics insgesamt 5 Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§11 BDSG-Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. Angepasste Datenschutzerklärung
  5. Ggf. Löschung von Altdaten

Quelle: www.datenschutzbeauftragter-info.de

04