eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-in

DSGVO von EU-Parlament verabschiedet

/von

[Update 04.05.2016]

Die DSGVO wurde heute (04.05.2016) im EU-Amtsblatt veröffentlicht. Damit tritt sie am 25.05.2016 in Kraft. Anzuwenden ist sie ab dem 25.05.2018. Ab heute tickt also die Uhr…

[Update Ende]

Es ist soweit. Am 14.04.2016 hat das Europaparlament die neue Datenschutzgrundverordnung (DSGVO) endgültig verabschiedet. Nach deren Veröffentlichung im EU-Amtsblatt tritt sie 20 Tage später in Kraft und wird nach einer Übergangsfrist von 2 Jahren angewandt werden. Die amtliche deutsche Übersetzung des Beschlusses inkl. der weit über 100 Erwägungsgründe findet sich hier (und hier die englische Version).

Zukünftig einheitlich

Wir wissen also, dass wir ab Anfang Mai 2018 ein EU-weit einheitliches Datenschutzrecht haben. Anders als die durch den Beschluss aufgehobene EU-Richtlinie 95/46/EG, welche die Grundlage für das derzeit noch geltende Bundesdatenschutzgesetz (BDSG) bildet, wird die DSGVO als Verordnung in allen Mitgliedsstaaten der EU direkt und einheitlich gelten. Die Tage der unterschiedlichen Datenschutz-Gesetzgebung in den einzelnen EU-Mitgliedsstaaten sind also gezählt.

Dass die Bußgelder mit der DSGVO gegenüber dem BDSG mehr als verdreißigfacht wurden, dürfte mittlerweile allgemein bekannt sein (ansonsten siehe diesen Artikel). Von der enormen Höhe der Beträge abgesehen, dürfte für Unternehmer vor allem interessant sein, dass mit der DSGVO auch ein neues Modell der risikobasierten Gefährdungsbeurteilung eingeführt werden wird.

Datenschutz-Folgenabschätzung

Für  Verarbeitungen, die „insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, ist eine sog. Datenschutz-Folgenabschätzung durchzuführen. Die Festlegung, welche Verarbeitungen hiervon betroffen sind, werden gem. Art. 35 Abs. 4 durch die Aufsichtsbehörden getroffen. Somit sind diese Verarbeitungen zum jetzigen Zeitpunkt noch nicht festgelegt. Ebenso sollen die Aufsichtsbehörden eine Negativliste erstellen, also eine Liste, auf denen Verarbeitungen gelistet sind, für die keine Datenschutz-Folgenabschätzung durchzuführen ist.

Unternehmen, die einen Datenschutzbeauftragten bestellt haben, haben diesen an der Durchführung der Datenschutz-Folgenabschätzung zu beteiligen (Art. 35 Abs. 2). Dieser kleine Satz, der eigentlich eine Selbstverständlichkeit beschreibt, wird voraussichtlich zukünftig dafür sorgen, dass die Datenschutzbeauftragten der Unternehmen stärker und vor allem auch früher in die Einführung oder Änderung von Verfahren einbezogen werden. Bislang passiert das in vielen Unternehmen ja eher zufällig.

Öffnungsklauseln

Die DSGVO enthält zahlreiche Öffnungsklauseln um durch nationale Gesetzgebung in gewissem Rahmen schärfere Regelungen zu erlassen. Diese Öffnungsklauslen sind in der Regel so formuliert, dass hierzu neue Gesetze geschaffen werden, aber auch bestehende Gesetze weiter gelten können. Die Bundesregierung hat angekündigt, bis Jahresende diese Öffnungsklauseln „mit Leben zu füllen“. Warten wir ab, ob es wirklich so schnell geht. Solange die entsprechenden Gesetze und Verordnungen nicht existieren, steht der volle Umfang der neuen Datenschutz-Regelungen jedenfalls noch nicht fest.

Der Datenschutzbeauftragte

Eine dieser Öffnungsklauseln betrifft die Pflicht zur Bestellung des Datenschutzbeauftragten. Der Bundesjustizminister hat bereits angekündigt, die deutlich lascheren Regelungen der DSGVO durch Nutzung der Öffnungsklausel an die derzeitigen Regelungen des BDSG anzugleichen. Nach derzeitigem Stand wird es also bei der Pflicht zur Bestellung eines Datenschutzbeauftragten bleiben sofern mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Allerdings werden die Vorteile, die man dadurch derzeit hat (z. B. Wegfall der Meldepflicht) nicht erhalten bleiben können, weil sie in der DSGVO nicht vorgesehen sind.

Datenverarbeitung im Auftrag

War die Regelung zur Datenverarbeitung im Auftrag gem. BDSG § 11 recht kurz gehalten, so wird die DSGVO diesem Thema und seiner Bedeutung deutlich gerechter. Erstmals wird auch die Rolle des Auftragsverarbeiters eingeführt und stärker zwischen dem Verantwortlichen (im BDSG: verantwortliche Stelle) und dem Auftragsverarbeiter (im BDSG: nicht klar definiert, irgend etwas zwischen „Dritter“ und „Teil der verantwortlichen Stelle“) unterschieden.

Verfahrensverzeichnis

In diesem Zusammenhang wird auch die Pflicht zur Führung der Verarbeitungsübersicht neu geregelt. Hier gibt es eine erfreuliche Erleichterung, denn dieses ist zukünftig nur noch zu führen, wenn das entsprechende Unternehmen mind. 250 Mitarbeiter beschäftigt. Auch die Herausgabe an Jedermann (Stichw. „öffentliches Verfahrensverzeichnis“) entfällt zukünftig. Die Verarbeitungsübersicht ist nur noch für die Vorlage bei den Aufsichtsbehörden gedacht. Gleichzeitig gibt es auch eine Verschärfung, denn die Pflicht zur Führung der Verarbeitungsübersicht trifft zukünftig auch Auftragsverarbeiter.

Die Uhr tickt…

Wie schon geschrieben läuft nun eine zwei-jährige Übergangsfrist. Zwei Jahre erscheinen zunächst nach einem komfortabel langem Zeitraum. Betrachtet man aber die neuen Anforderungen, die durch die DSGVO gestellt werden, sollte der zur Umsetzung der neuen Regelung zu treibende organisatorische, zeitliche und technische Aufwand nicht unterschätzt werden.

Benötigen Sie Unterstützung beim Übergang von BDSG auf die DSGVO? Ich unterstütze Sie! Rufen Sie an und wir klären in einem ersten kostenfreien Gespräch, welcher Weg für Sie und Ihr Unternehmen der richtige ist.

Das könnte Sie auch interessieren
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungKeine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungÜber die Auswirkung der DSGVO auf bestehende Gesetze
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratSicherheit der Verarbeitung gemäß Art. 32 DSGVO
schadenersatz betroffenenrechte auskunftsrecht löschrechtErsatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungen
datenschutzerklärung generator tracking cookies analytics cookies piwikAnforderungen an eine Website aus Datenschutz-Sicht
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoActive Sourcing und Datenschutz
Erste Bußgelder für Übermittlungen nach Safe Harborprivacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanaufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bVerfahrensverzeichnis vs. Verzeichnis der Verarbeitungen