Datenschutz-Grundverordnung DSGVO

Es fehlen nur noch wenige Monate, damit die neue Allgemeine EU Datenschutzverordnung (EU-DSGVO), die im Mai 2016 in Kraft getreten ist, angewandt wird. Ab dem 25. Mai müssen die Verantwortlichen und Auftragsverarbeiter die Datenanwendungen an die neue Rechtslage anpassen. Es handelt sich um eine unmittelbar anwendbare Vorschrift, die nicht in nationales Recht umgesetzt werden muss.

Obwohl dass von der vorherigen Datenschutzverordnung 95/46/ viele Konzepte beibehalten worden sind, sind neue Verpflichtungen festgelegt worden, die jeder Verantwortliche und Auftragsverarbeiter erfüllen muss.

Als eines der wichtigsten und neuesten Elemente dieser Veordnung ist das Prinzip der Accountability oder Rechenschaftspflicht hervorzuheben.

Dieser Grundsatz erfordert eine gewissenhafte, sorgfältige und proaktive Haltung von Seiten der Verantwortlichen bei der Bearbeitung von personenbezogenen Daten. Diese müssen sicherstellen und den Nachweis erbringen können, dass die Verarbeitung entsprechend der DSGVO erfolgt.

Zu diesem Zweck sollten die Unternehmen die folgenden Punkte berücksichtigen:

Transparenz und Informationen für die betroffenen Personen:

Der Verantwortliche trifft geeignete Massnahmen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Bis heute hat nur die Pflicht bestanden, die Information ausdrücklich genau und deutlich anzugeben.

Wenn die Daten aus einer anderen Quelle bezogen werden oder aus öffentlichen Stellen stammen und nicht von der betroffenen Person selbst, so müssen die Verantwortlichen die betroffene Person in einer Frist von einem Monat nach Erhalt der Daten entweder vor oder bei der ersten Mitteilung an die betroffenen Person oder vor der Übermittlung der Daten an andere Empfänger, unterrichten.

Untersuchung der Risiken:

Die Verordnung sieht vor, dass bestimmte Massnahmen nur angewandt werden, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. In anderen Fällen sollten die Massnahmen gemäss dem Grad und der Art des Risikos abgeschätzt werden. Um dieser Verpflichtung nachzukommen, müssen die Unternehmen als Verantwortliche der Behandlung der Daten eine Abschätzung der Gefahren zum Zeitpuntk der Verarbeitung der personenbezogenen Daten vornehmen. Die Massnahmen werden entsprechend der Behandlung der personenbezogenen Daten, der Art der Daten, Anzahl der betroffenen Personen sowie der Anzahl und Vielfalt der Datenanwendungen je nach Art, angepasst.

Jeder Verantwortliche hat Risikoanalysen der Datenanwendung durchzuführen und sicherzustellen, dass die Verarbeitung entsprechend der DSGVO erfolgt.

Ausserdem muss unterschieden werden zwischen der Analyse in grossen oder kleineren Unternehmen mit weniger umfangreichen Datenanwendungen. Die Grossunternehmen müssen die bestehenden Risikobewertungsmethoden anwenden, während die kleineren Unternehmen eine einfachere Risikoanalyse vornehmen können.

– De Einwilligung

von Seiten der betroffenen Person ist eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die neue Grundverordnung lässt keine stillschweigende Zustimmung zu.

Die Einwilligungen, die vor dem in Kraft treten des DSGVO abgegeben worden sind, sind gültig, wenn diese Einwilligungen mit der neuen Verordnung im Einklang stehen.

Die Führung des Verarbeitungsverzeichnisses:

gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.

Auch wenn ein Verantwortlicher nicht dazu verpflichtet ist, ein Verarbeitungsverzeichnis zu führen, kann ihm dies dazu dienen, dass er die Vorschriften der DSGVO einhält.

Datenschutz durch Technikgestaltung – Datenschutz durch datenschutzfreundliche Voreinstellungen Jeder Verantwortliche muss einerseits und zuvor angemessene technische und organisatorische Massnahmen anwenden, um die Personendaten sicherzustellen. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gesichert sein; eigene Datenbearbeitungen müssen so ausgestaltet sein, dass sie die Einhaltung des Datenschutzes sicherstellen (Datenschutz durch Technikgestaltung) und Standard-Einstellungen, wo es solche gibt, datenschutzfreundlich sind (Datenschutz durch datenschutzfreundliche Voreinstellungen).

Datenschutzverletzungen: Verantwortliche müssen ggf. Datenschutzverletzungen binnen 72 Stunden nach Kenntnis der Verletzungen der zuständigen Datenschutzbehörde melden. Im Falle einer Datenschutzverletzung mit hohen Risiken für die Privatsphäre, müssen diese sowohl der Behörde, als auch den Betroffenen gemeldet werden damit sie die notwendigen Massnahmen ergreifen können.

Datenschutzbeauftragte: Die DGSGVO legt fest, dass auf jeden Fall ein Datenschutzbeauftragter ernannt werden muss, der den Verantwortlichen oder Auftragsverarbeiter in der Erfüllung der Verordnung unterstützt. Es muss auf jeden Fall ein Datenschutzbeauftrager ernannt werden, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder Daten über strafrechtliche Verurteilungen und Straftaten vorliegen.

Unsere Rechtsanwälte von SCHILLER Abogados stehen Ihnen jederzeit gerne zur Verfügung und beraten Sie hinsichtlich der neuen EU-Datneschutzverordnung. Wir unterstützen Sie bei der Überprüfung und Anpassung der Datenschutzrichtlinien sowie der anderen Voraussetzungen und Verpflichtungen aus der neuen Verordnung.

Schreibe einen Kommentar