Informationen zum Datenschutz

Die DS-GVO

EU-Datenschutz-Grundverordnung
Was sind die zentralen Anforderungen der DS-GVO?
  • Meldepflicht für Datenschutzverletzungen – Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zu-ständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert wer-den, sofern der Vorfall „voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Freiheiten“ zur Folge hat.
  • Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der DS-GVO.
  • Privacy by Design – Privacy-by-Default-Prinzipien spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien, wie die Minimierung der erfassten und gespeicherten personenbezogenen Daten, sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.
  • Recht auf Löschung ("Recht auf Vergessenwerden") – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die DS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene "Recht auf Vergessenwerden“.

Geldbußen

alles zum Thema Abstrafungen

abgestuftes Sanktionssystem

Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere „Privacy by Design“. Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.

Die DS-GVO ist ein komplexes Gesetz

Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.

Datenerhebung

Es dürfen nur Daten erhoben werden, die für die Erbringung eines Dienstes wirklich benötigt werden.

Datenverarbeitung

Kundendaten dürfen nur verarbeitet und genutzt werden, wenn der Kunde das auf Grundlage der Geschäftsbeziehung zum Unternehmen erwarten kann, nicht aber durch ein „unbeteiligtes“ drittes Unternehmen.

Datenschutzbehörden

Die Datenschutzbehörden koordinieren sich europaweit untereinander. Unternehmen müssen sich nur noch mit der Aufsichtsbehörde im Land ihres Hauptsitzes auseinandersetzen.

meldepflichtige Vorfälle

Unternehmen müssen einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichtigen, also schneller über Datenlecks informieren. Außerdem können künftig Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung löst die bisherige Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten ab.

Weitergabe von Daten

Für die Weitergabe von Daten an ausländische Behörden von Drittstaaten gelten strenge Vorschriften.

Eine Öffnungsklausel

Eine Öffnungsklausel ermöglicht den EU-Staaten individuelle Regelungen: Deutschland behält den Datenschutzbeauftragten

Betroffenen Personen werden erweiterte Beschwerde- und Rechtsschutzmöglichkeiten über ihre nationalen Ansprechpartner zugesprochen.

Wissen

weitere wichtige Informationen

Verbraucherschutz warnt vor Windows 10

Das Windows nicht sonderlich viel von Datenschutz hält, dürfte nichts Neues sein. In einem neuen Artikel warnt nun der Verbraucherschutz Rheinland-Pfalz vor genau diesem. Laut dem Artikel handle es sich um „eine Art private Abhöranlage“.

Quelle: www.techniksurfer.de

01

IT- Sicherheit: Verändertes Prüfverhalten der Datenschutz-Aufsichtsbehörden

Die Datenschutz-Aufsichtsbehörden legen bei der Prüfung von Unternehmen zunehmend ihren Focus auf den Bereich IT-Sicherheit. Zuletzt hatte die bayrische Datenschutz-Aufsichtsbehörde stichprobenartig Mail-Server auf technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben.

02

Bußgeld bei fehlerhaftem Vertrag zur Auftagsdatenverarbeitung

Das Bayrische Landesamt für Datenschutzaufsicht hat nach eigener Information im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftagsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt.

Quelle: www.iitr.de

Werden personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet, ist gemäß § 11 BDSG ein Vertrag zur so genannten Auftragsdatenverarbeitung abzuschließen.

03

Google Analytics datenschutzkonform einsetzen

Die Datenschutzbehörden diskutieren schon seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics. Auf Grundlage der im November 2009 beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics insgesamt 5 Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§11 BDSG-Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. Angepasste Datenschutzerklärung
  5. Ggf. Löschung von Altdaten

Quelle: www.datenschutzbeauftragter-info.de

04