Datenschutz-Grundverordnung

Am 27. April 2016 wurde die neue Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (nachfolgend nur „GDPR“) verabschiedet. Die GDPR implementiert eine völlig neue Stufe des Schutzes personenbezogener Daten und beinhaltet bedeutende Änderungen im Bereich des Umgangs mit personenbezogenen Daten, woraus sich grundlegende Auswirkungen für die meisten Unternehmen ergeben.

Die Verordnung wird bereits ab 25.05.2018 ohne jegliche Umsetzung in die tschechische Rechtsordnung wirksam und einforderbar.

Was also ist Inhalt der Datenschutz-Grundverordnung?

Protection by design oder Datenschutz durch Technik

Durch die gesamte GDPR zieht sich wie ein roter Faden die Forderung nach Berücksichtigung des Datenschutzes bereits im Verlauf aller relevanten Tätigkeiten des für die Datenverarbeitung Verantwortlichen, und zwar schon bei der Auswahl von Anwendungen, Dienstleistungen und Produkten. Die GDPR sieht nicht nur vor, dass die Datenschutzvorgaben standardmäßig und systematisch bereits mit den ersten Projektüberlegungen implementiert werden, sondern auch, dass diese Vorgaben in Hinblick auf die technische Entwicklung und die ständig neuen Gefahren regelmäßig auszuwerten und zu aktualisieren sind. Der Datenschutz durch Technik wird gleichzeitig zu einer wichtigen Auslegungsregel für die gesamte GDPR.

Datenschutz-Folgenabschätzung

Die GDPR hebt die bisherige generelle Meldepflicht an die zuständige Aufsichtsbehörde bei der Verarbeitung personenbezogener Daten auf und ersetzt sie durch eine interne Datenschutz-Folgenabschätzung der zu implementierenden Prozesse. Erst, wenn diese Folgenabschätzung ein hohes Risiko bestätigt, muss der Verantwortliche die Aufsichtsbehörde kontaktieren. Für die Datenschutz-Folgenabschätzung gelten jedoch feste Regeln, und das oben erwähnte Prinzip des Datenschutzes durch Technik findet darin starken Niederschlag.

Hohe Geldbußen bei Verstößen gegen die Verordnung

Die GDPR verschärft die Geldbußen bei Verstößen gegen den Datenschutz auf bis zu siebenstellige EUR-Beträge. Neu können Geldbußen bis in Höhe von 20 000 000,- EUR oder sogar noch höher verhängt werden, konkret bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des betreffenden für die Verarbeitung Verantwortlichen (sofern dieser Betrag höher als 20 000 000,- EUR ist). Wir verweisen darauf, dass die Aufsichtsbehörde in Tschechien durch die GDPR gleichzeitig direkt neue Kontrollbefugnisse erwirbt, die bislang nicht in den tschechischen Verwaltungsvorschriften verankert sind.

Verzeichnis von Datenverarbeitungstätigkeiten

Die GDPR stellt höhere Anforderungen an eine systematische Erfassung aller durchgeführten Verarbeitungen personenbezogener Daten. Jeder für die Verarbeitung Verantwortliche, bis auf die angeführten Ausnahmen, ist verpflichtet, die in der Verordnung definierten Verzeichnisse über die Verarbeitung zu führen. Allgemein ist mit einer bedeutenden Zunahme der Pflichtdokumentation in Verbindung mit der Verarbeitung personenbezogener Daten zu rechnen.

Benachrichtigungspflicht bei Verletzung des Schutzes personenbezogener Daten

Neu wird dem für die Datenverarbeitung Verantwortlichen in vielen Fällen die Pflicht auferlegt, betroffene Personen direkt über Verletzungen des Schutzes personenbezogener Daten (sog. „data leaks“), einschließlich weiterführender Informationen, zu benachrichtigen. Dabei ist es immer auch erforderlich, unverzüglich die Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen und ihr die in der GDPR geforderten Informationen über diese Verletzung zu gewähren.

Datenschutzbeauftragter (DSB)

Im tschechischen Recht wird das ganz neue Institut des Datenschutzbeauftragten implementiert. Der für die Datenverarbeitung Verantwortliche ist zu dessen Benennung verpflichtet, sofern es im Rahmen der Verarbeitung personenbezogener Daten im betreffenden Unternehmen zu einer umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen kommt oder die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Dabei kann es sich um einen der Geschäftsführung direkt unterstellten Mitarbeiter oder einen externen Dienstleister handeln. Wenngleich das Vertragsverhältnis zwischen dem Unternehmen und seinem Datenschutzbeauftragten den Vertragsparteien überlassen ist, sind die Rechte und Pflichten des Datenschutzbeauftragten in der GDPR konkret festgelegt.

Recht auf Datenübertragbarkeit

Die betroffene Person hat neu das Recht, ihre personenbezogenen Daten kostenlos in einem maschinenlesbaren Format vom Verantwortlichen zu erhalten bzw. die Übermittlung solcher personenbezogener Daten an einen anderen Verantwortlichen zu verlangen. Dieses Recht gerät potenziell in Konflikt mit dem Urheberrecht (insbesondere beim Schutz von Datenbanken), in vielen Fällen aber auch mit dem Geschäftsgeheimnis (z. B. Marketinganalysen, Bonitätsanalysen). Daher ist es wichtig, die genauen Grenzen dieses Rechts zu kennen und seine Umsetzung an die konkreten Bedingungen im Unternehmen anzupassen, wobei wir Sie gern unterstützen.

Neuregelung der Übermittlung personenbezogener Daten an Drittländer

Die GDPR stellt einen weiteren Versuch zur Regelung der bereits heute sehr problematischen Übermittlung personenbezogener Daten an Nicht-EU-Länder dar, wozu auch einige neue Instrumente eingeführt werden.