Die technologischen Veränderungen der letzten Jahre haben es erforderlich gemacht, dass das Europäische Parlament und der Rat die europäischen Datenschutzvorschriften angesichts des höheren Risikos angepasst werden müssen. Dies führt zur neuen Allgemeinen Datenschutzverordnung (im Folgenden die „Verordnung“).
Die Verordnung gilt automatisch ab dem 25. Mai 2018 in allen Mitgliedstaaten, d.h. ohne Umsetzungsbedarf. In diesem Sinne mussten die Unternehmen bereits die notwendigen Maßnahmen ergreifen.
Die größte Neuerung der Verordnung ist in zwei Punkten unterteilt:
1) Das Prinzip der proaktiven Verantwortung:
Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Übereinstimmung der Verarbeitung mit der Verordnung zu gewährleisten und nachweisen zu können. Nach diesem Prinzip müssen Unternehmen analysieren, welche Daten sie für welche Zwecke verarbeiten und welche Art von Verarbeitungen sie durchführen.
2) Der Risikoansatz:
Die Unternehmen müssen Art, Umfang, Kontext und Zweck der Daten analysieren, sowie das Risiko für die Rechte und Freiheiten des Einzelnen definieren.
Dadurch gibt es Maßnahmen für Daten, die ein hohes Risiko für Rechte und Freiheiten darstellen und andere, die an Ausmaß und Art des Risikos angepasst sind.
WEITERENTWICKLUNG DER BISHERIGEN GRUNDSÄTZE:
Im Allgemeinen führt die Verordnung keine neuen Grundsätze ein, sondern adaptiert die bereits bestehenden Grundsätze wiefolgt:
1) Verbot ausser mit Genehmigung: Jede Verarbeitung personenbezogener Daten ist untersagt, es sei denn, sie ist ausdrücklich erlaubt. Mit der Verordnung gilt dieser Grundsatz des Verbots unterschiedslos für alle Arten von personenbezogenen Daten.
2) Eingrenzung der Verarbeitung: Unternehmen dürfen Daten nur für bestimmte Zwecke erheben und bearbeiten. Dafür sollten die Ziele formuliert und ihre künftige Verwendung dokumentiert werden.
3) Datenminimierung: Es können nicht mehr Daten erhoben werden, als zur Erreichung des Zwecks erforderlich sind. Dadurch wird eine übermäßige Datenerfassung vermieden.
4) Transparenz: Die Informationen für die Betroffenen sollten präzise, transparent, verständlich und leicht zugänglich sein, in klarer und einfacher Sprache. Bisher war es nur präzise und transparent.
5) Vertraulichkeit: Unternehmen sind verpflichtet, die persönlichen Daten ihrer Kunden in technischer und organisatorischer Hinsicht vor Diebstahl zu schützen, was neue ist. Bei Informationsdiebstahl ist es wichtig, dass die technischen und organisatorischen Schutzmaßnahmen dem Risiko und der Art der gespeicherten Daten angemessen sind.
UNTERNEHMENSDELEGIERTE:
Die Richtlinie 95/46 bezieht sich auf die Tätigkeit der Datenschutzbeauftragten. Die Verordnung enthält jedoch Verpflichtungen für sie, wie die Führung eines Registers der Verarbeitungstätigkeiten und die Festlegung der Sicherheitsmaßnahmen für die von ihnen durchgeführten Verarbeitungen.
In Bezug auf Unternehmen sieht die Verordnung die Verpflichtung vor, auch wenn die Haupttätigkeit nicht mit der Datenverarbeitung zusammenhängt, einen Datenschutzbeauftragten zu benennen, wenn mindestens zehn Personen an der automatisierten Verarbeitung personenbezogener Daten beteiligt sind. Dies betrifft viele mittelständische Unternehmen.
Darüber hinaus sieht die Verordnung vor, dass die für die Verarbeitung verantwortliche Firma/Institution einen Vertrag mit den Delegierten abschließen muss. In dieser Verordnung wird auch der Mindestinhalt dieser Verträge festlegt.
Die Institutionen und Firmen müssen auch eine Risikobewertung der von ihnen durchgeführten Verarbeitungen vornehmen, um feststellen zu können, welche Maßnahmen sie anwenden müssen. Die Art der Analyse hängt von den zu verarbeitenden Daten ab, aber große Organisationen müssen solche Analysen mit einer der bestehenden Risikoanalysemethoden durchführen.
BENACHRICHTIGUNG BEI DATENSICHERHEITSVERLETZUNGEN:
Die Verordnung definiert Datensicherheitsverstöße (oder Sicherheitsverstöße) im weitesten Sinne, einschließlich aller Vorfälle, die zur „unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust oder zur Veränderung personenbezogener Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden, oder zur unbefugten Weitergabe oder zum unbefugten Zugriff auf diese Daten“ führen. In der Praxis stellt der Verlust eines Laptops mit Kundendaten, der unbefugte Zugriff auf die Datenbanken einer Organisation (auch durch ihre eigenen Mitarbeiter) oder die versehentliche Löschung bestimmter Datensätze eine Verletzung der Sicherheit gemäß den Vorschriften dar.
Wenn ein Verstoß gegen die Datensicherheit vorliegt, müssen Unternehmen die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes informieren.
Hugo Ester
Vilá Abogados
Für weitere Informationen wenden Sie sich bitte an:
23. März 2018
