EU Datenschutz Grundverordnung

Der Geltungsbereich der Verordnung wird auf alle Datenverarbeitungen ausgeweitet, die sich an EU-Bürger richten und die personenbezogene Daten von EU-Bürgern verarbeiten. Wichtig zu wissen ist darüber hinaus, dass auch bei Suchdiensten und sozialen Netzwerken die Verordnung Anwendung findet. Sogar der Tourist, der nach Deutschland kurzfristig urlaubsbedingt einreist, fällt für diesen Zeitraum unter die Regelungsinhalte der Verordnung, sofern in Deutschland ansässige Unternehmen seine Daten speichern und verarbeiten.

Auch finden sich in der Verordnung eine ganze Reihe neuer Begriffe wie z. B. "umfassende Verarbeitung" oder "Profiling". Auch neue Definitionen sind zu finden, für die Begriffe "biometrische Daten" und "genetische Daten". Diesen Definitionen sollte insbesondere von denjenigen Unternehmen besondere Beachtung geschenkt werden, die z. B. mit Gesichtserkennung oder Erkennungsverfahren über den Fingerabdruck arbeiten.

Kinder genießen im Rahmen der EU-Datenschutz-Grundverordnung einen besonderen Schutz.

Sofern Ihr Unter nehmen in verschiedenen EU-Mitgliedstaaten tätig ist, sollten Sie individuell prüfen, welche Altersgrenzen dort jeweils gelten. Denn die Beweispflicht für die Einwilligung von Kindern oder deren Erziehungsberechtigten bezüg lich Datenschutz liegt ausschließlich beim Unternehmen.

Der Widerruf der erteilten Einwilligung wurde in seinen Anforderungskriterien deutlich herabgesetzt. Hat der Betroffene zunächst seine Einwilligung zur Speicherung und Verarbeitung seiner personenbezogenen Daten
zugestimmt, so kann er diese Einwilligung jederzeit und ohne Begründung widerrufen. Hierbei muss unterneh mensspezifisch darauf geachtet werden, dass der Widerruf für den Betroffenen mindestens so einfach gestaltbar
ist wie die erteilte Einwilligung.

Das bedeutet, dass Webseiten, Apps und andere vom Unternehmen angebotene
digitale Dienste so gestaltet sind, dass sie den Vorgaben der EU-Datenschutz-Grundverordnung entsprechen.

Auch das sog. Kopplungsverbot wurde verschärft. Nach bisher geltendem Recht durfte der Abschluss eines Vertrags uneingeschränkt mit einer erteilten Einwilligung hinsichtlich der Speicherung und Verarbeitung der personenbezogenen Daten des Vertragspartners gekoppelt werden. Mit Inkrafttreten der Verordnung kann es
notwendig werden, denselben Vertrag einmal mit und einmal ohne die zu erteilende Einwilligung zur Speicherung und Verarbeitung der personenbezogenen Daten anzubieten.

Die sog. Informations- und Auskunftspflichten wurden um weitere Angaben ergänzt. Ihr Unternehmen muss dem Betroffenen eine Reihe weiterer Informationen zur Verfügung stellen. Dazu gehören insbesondere Informationen zu der Rechtsgrundlage, auf die sich die unternehmensspezifische Datenverarbeitung stützt. Auch Angaben zur Dauer der Speicherung müssen gemacht werden. Zusätzlich muss beachtet werden, dass es jede Form der Weiterverarbeitung der Daten zu einem anderen Zweck zukünftig erforderlich macht, dass dem Betroffenen erneute Informationen zur Verfügung gestellt werden.

Auch gibt es für die erhobenen und gespeicherten Datensätze sog. Portabilitätsverpflichtungen. Das Unterneh men, das die Daten gespeichert und verarbeitet hat, die der Betroffene ihm zur Verfügung gestellt hat, muss diese gegebenenfalls in einem gängigen Format wieder zur Verfügung stellen und auf Wunsch so aufbereiten, dass sie jederzeit an Dritte weitergegeben werden können.

Des Weiteren werden die sog. Löschpflicht und die Hinweispflicht bei Weitergabe von Daten an Dritte erweitert.
Das ist dann riskant, wenn ein Unternehmen veraltete Datenbestände an Dritte weitergereicht hatte. Es ergibt sich die unternehmerische Pflicht, diese Daten zu korrigieren und diesen Korrekturbedarf an das entsprechende Unternehmen weiterzuleiten. Für Ihr Unternehmen bedeutet das, dass möglichst bereits schon
jetzt darauf geachtet werden sollte, welche personenbezogenen Daten Ihr Unternehmen verarbeitet, woher diese Daten stammen und an wen Sie diese Daten weitergeben.   Auch sollten Sie das unternehmensspezifische
Löschverfahren dahingehend überprüfen, ob es tatsächlich jederzeit möglich wäre, bei einem geltend gemachten Löschanspruch die Daten zügig aufzufinden und zu löschen.

Ebenso wird das Widerspruchsrecht deutlich erweitert. Der Betroffene kann insbesondere der Datenverarbeitung seiner Daten widersprechen, wenn diese zu Zwecken des Direktmarketings, einschließlich der Profilbildung für diese Zwecke genutzt werden sollen. Hier gilt es vonseiten des Unternehmens darauf zu achten, dass der Betroffene explizit und separiert von jeglicher Art anderer Information darauf hingewiesen wird, dass dieses Recht besteht

Die sog. Meldepflichten bei Datenpannen werden deutlich verschärft. So ist jedes Unternehmen dazu verpflichtet, jeden Vorfall, der ein Risiko für die Rechte und Pflichten der Betroffenen darstellt, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Zudem muss auch der Betroffene selbst unverzüglich
über die aufgetretene Datenpanne informiert werden, wenn diese voraussichtlich zu einem hohen Risiko für ihn führt. Gerade in diesem sehr sensiblen Bereich sollte Ihr Unternehmen Richtlinien und Verfahren entwickeln, die eine unverzügliche Meldung solche Datenpannen zeitnah gewährleisten.
-
Dabei sollte zwingend auf die erforderlichen Mindestinhalte geachtet werden, die sich aus der DS-GVO ergeben.
Darüber hinaus ist jedes Unternehmen verpflichtet, die Datenpannen unternehmensintern zu dokumentieren.

Zu beachten ist weiterhin, dass sich die zuständige Aufsichtsbehörde für ein europaweit tätiges Unternehmen nach dem Hauptsitz oder nach der Niederlassung richtet, die generell über Datenverarbeitung entscheidet. Bei international tätigen Unternehmen sollte demnach zwingend eine Zuordnung getroffen werden, an welcher Ört lichkeit die maßgeblichen Entscheidungen hinsichtlich der Verarbeitung personenbezogener Daten getroffen werden.

Es werden auch erhöhte Anforderungen an die sog. Freiwilligkeit der Erklärung gestellt. Die Einwilligung zur Spei cherung der Daten erfordert bei demjenigen, von dem sie eingefordert werden, eine freiwillige, spezifisch infor mierte und eindeutige Handlung. Dies kann online z. B. durch das bewusste Anklicken eines Kästchens erfolgen.

Keine ordnungsgemäß erteilte Einwilligung läge insbesondere dann vor, wenn ein sog. stillschweigendes Einver ständnis vorausgesetzt würde, z. B. durch ein bereits standardmäßig vorab angekreuztes Kästchen. Sind in den Prozess sogar verschiedene Datenverarbeitungsvorgänge eingebunden, muss in jeden einzelnen dieser Prozesse gesondert eingewilligt werden. Es muss im Einzelnen sogar vom Unternehmen der Nachweis erbracht werden, dass eine effektive Einwilligung gegeben wurde  Diese Einwilligung kann elektronisch abgegeben werden.