Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutzbeauftragter

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein zertifizierter externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

EU-DSGVO verabschiedet

16. April 2016

Es ist soweit. Am 14.04.2016 hat das Europaparlament die neue Datenschutzgrundverordnung (EU-DSGVO) endgültig verabschiedet. Nach deren Veröffentlichung im EU-Amtsblatt tritt sie 20 Tage später in Kraft und wird nach einer Übergangsfrist von 2 Jahren angewandt werden. Die amtliche deutsche Übersetzung des Beschlusses inkl. der weit über 100 Erwägungsgründe findet sich hier (und hier die englische Version).

Zukünftig einheitlich

Wir wissen also, dass wir ab Anfang Mai 2018 ein EU-weit einheitliches Datenschutzrecht haben. Anders als die durch den Beschluss aufgehobene EU-Richtlinie 95/46/EG, welche die Grundlage für das derzeit noch geltende Bundesdatenschutzgesetz (BDSG) bildet, wird die EU-DSGVO als Verordnung in allen Mitgliedsstaaten der EU direkt und einheitlich gelten. Die Tage der unterschiedlichen Datenschutz-Gesetzgebung in den einzelnen EU-Mitgliedsstaaten sind also gezählt.

Dass die Bußgelder mit der EU-DSGVO gegenüber dem BDSG mehr als verdreißigfacht wurden, dürfte mittlerweile allgemein bekannt sein. Von der enormen Höhe der Beträge abgesehen, dürfte für Unternehmer vor allem interessant sein, dass mit der EU-DSGVO auch ein neues Modell der risikobasierten Gefährdungsbeurteilung eingeführt werden wird.

Datenschutz-Folgenabschätzung

Für Verarbeitungen, die „insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, ist eine sog. Datenschutz-Folgenabschätzung durchzuführen. Die Festlegung, welche Verarbeitungen hiervon betroffen sind, werden gem. Art. 35 Abs. 4 durch die Aufsichtsbehörden getroffen. Somit sind diese Verarbeitungen zum jetzigen Zeitpunkt noch nicht festgelegt. Ebenso sollen die Aufsichtsbehörden eine Negativliste erstellen, also eine Liste, auf denen Verarbeitungen gelistet sind, für die keine Datenschutz-Folgenabschätzung durchzuführen ist.

Unternehmen, die einen Datenschutzbeauftragten bestellt haben, haben diesen an der Durchführung der Datenschutz-Folgenabschätzung zu beteiligen (Art. 35 Abs. 2). Dieser kleine Satz, der eigentlich eine Selbstverständlichkeit beschreibt, wird voraussichtlich zukünftig dafür sorgen, dass die Datenschutzbeauftragten der Unternehmen stärker und vor allem auch früher in die Einführung oder Änderung von Verfahren einbezogen werden. Bislang passiert das in vielen Unternehmen eher zufällig.

Öffnungsklauseln

Die EU-DSGVO enthält zahlreiche Öffnungsklauseln um durch nationale Gesetzgebung in gewissem Rahmen schärfere Regelungen zu erlassen. Diese Öffnungsklauseln sind in der Regel so formuliert, dass hierzu neue Gesetze geschaffen werden, aber teilweise auch bestehende Gesetze weiter gelten können. Die Bundesregierung hat angekündigt, bis Jahresende diese Öffnungsklauseln „mit Leben zu füllen“. Warten wir ab, ob es wirklich so schnell geht. Solange die entsprechenden Gesetze und Verordnungen nicht existieren, steht der volle Umfang der neuen Datenschutz-Regelungen jedenfalls noch nicht fest.

Der Datenschutzbeauftragte

Eine dieser Öffnungsklauseln betrifft die Pflicht zur Bestellung des Datenschutzbeauftragten. Der Bundesjustizminister hat bereits angekündigt, die deutlich lascheren Regelungen der EU-DSGVO durch Nutzung der Öffnungsklausel an die derzeitigen Regelungen des BDSG anzugleichen. Nach derzeitigem Stand wird es also bei der Pflicht zur Bestellung eines Datenschutzbeauftragten bleiben sofern mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Datenverarbeitung im Auftrag

War die Regelung zur Datenverarbeitung im Auftrag gemäß § 11 BDSG noch recht kurz gehalten, so wird die EU-DSGVO diesem Thema und seiner Bedeutung deutlich gerechter. Erstmals wird auch die Rolle des Auftragsverarbeiters eingeführt und stärker zwischen dem Verantwortlichen (im BDSG: verantwortliche Stelle) und dem Auftragsverarbeiter (im BDSG: nicht klar definiert, irgend etwas zwischen „Dritter“ und „Teil der verantwortlichen Stelle“) unterschieden.

Verfahrensverzeichnis

In diesem Zusammenhang wird auch die Pflicht zur Führung der Verarbeitungsübersicht neu geregelt. Hier gibt es eine erfreuliche Erleichterung, denn diese ist zukünftig nur noch zu führen, wenn das entsprechende Unternehmen mind. 250 Mitarbeiter beschäftigt. Auch die Herausgabe an Jedermann (Stichwort „öffentliches Verfahrensverzeichnis“) entfällt zukünftig. Die Verarbeitungsübersicht ist nur noch für die Vorlage bei den Aufsichtsbehörden gedacht.

Die Uhr tickt…

Wie schon geschrieben läuft nun eine zweijährige Übergangsfrist. 2 Jahre erscheinen zunächst nach einem sehr langen Zeitraum. Betrachtet man aber die neuen Anforderungen, die durch die EU-DSGVO gestellt werden, sollte der zur Umsetzung der neuen Regelung benötigte organisatorische und zeitliche Aufwand nicht unterschätzt werden.

Benötigen Sie Unterstützung beim Übergang von BDSG auf die EU-DSGVO? Sprechen Sie mich an. Gerne unterstütze ich Sie bei der Umsetzung.