Datenschutzgesetz: Sind Sie GDPR-konform?

Die Europäische Datenschutz-Grundverordnung (DSGVO) enthält eine Reihe neuer Maßnahmen für die Verarbeitung, Verwaltung und Speicherung von personenbezogenen Daten. Ab dem 25. Mai 2018 muss jedes belgische Unternehmen, das Daten von EU-Bürgern sammelt, mit dieser neuen Datenschutzgesetzgebung im Einklang sein. Die Unternehmen sind selbst für die Einhaltung der Datenschutzgesetze verantwortlich und müssen dies auch nachweisen können.

Datenschutz-Grundverordnung

Seit 1995 besteht bereits eine Datenschutzrichtlinie, die von allen Mitgliedsstaaten in staatliches Recht umgesetzt worden ist. Diese Richtlinie bestimmt, wie und wann Unternehmen personenbezogene Daten sammeln, verarbeiten und an Dritte weitergeben dürfen. Diese Regeln reichen in unserer heuten wirtschaftlichen und technologischen Wirklichkeit (sprich: digitale Revolution, Internet, Cloud Computing ...) nicht mehr aus.

Die Datenschutz-Grundverordnung (DSGVO) bzw. General Data Protection Regulation (GDPR) bietet eine Antwort auf unsere tägliche Internetwelt. Die Verordnung ist bereits am 24. Mai 2016 in Kraft getreten, aber die Unternehmen erhalten noch eine Frist bis zum 25. Mai 2018, um sich den neuen Regeln anzupassen. Die Regeln gelten in der gesamten Europäischen Union, ohne dass Umwandlungsgesetze in staatliches Recht erforderlich sind (mit Ausnahme von einigen Bestimmungen).
Diese Verordnung bezieht sich nicht auf die Verarbeitung von Daten über juristische Personen. Der Schutz, den diese Verordnung bietet, betrifft nur natürliche Personen - ohne Rücksicht auf ihre Staatsangehörigkeit oder ihren Aufenthaltsort - und die Verarbeitung ihrer personenbezogenen Daten.

Rechte der Bürger

Der Schutz von (natürlichen) Personen bei der Verarbeitung von personenbezogenen Daten ist ein Grundrecht. Aus Studien der Europäischen Kommission geht hervor, dass Internetbenutzer sich angesichts der Art und Weise, wie ihre personenbezogenen Daten online verwendet werden, Fragen stellen. Die neue Verordnung gibt den Bürgern mehr Kontrolle durch Folgendes:

einen einfacheren Zugang zu den eigenen personenbezogenen Daten;

ein Recht auf Datenportabilität. Dabei handelt es sich um eine verbesserte Form des Zugangs, wobei der Betroffene das Recht hat, personenbezogene Daten in einer strukturierten, geläufigen und elektronischen Form zu erhalten;

eine Bestätigung des Rechts auf Datenlöschung oder das Recht auf Vergessenwerden (right to be forgotten);

das Recht, benachrichtigt zu werden, wenn eine Datenbank mit Ihren Daten gehackt wird („Datenlecks“ siehe unten).

Pflichten der Unternehmen

Ab dem 25. Mai 2018 sind einige Verantwortliche, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen oder in der umfangreichen Verarbeitung sensibler Daten besteht (z. B. Banken und Versicherungen), verpflichtet, einen Datenschutzbeauftragten zu bestellen, der mitunter auch Data Protection Officer (DPO) genannt wird. Aber auch für diejenigen, die nicht unter diese Verpflichtung fallen, ist die Anstellung eines Beauftragten interessant, der eine wichtige Rolle beim Datenschutz in Ihrer Organisation spielen kann.

Die DSGVO verpflichtet auch dazu, die Verarbeitungstätigkeiten intern zu dokumentieren (Risikoanalyse). Die Datenschutzkommission stellt bereits ein Registermodell zur Verfügung. Um die besondere Situation von kleinen und mittleren Betrieben sowie Mikrounternehmen zu berücksichtigen, gibt es eine Abweichung für Organisationen mit weniger als 250 Arbeitnehmern, was die Führung dieser Register anbelangt.

Um sich auf die neuen Regeln vorzubereiten, hat die Datenschutzkommission einen Stufenplan für Unternehmen ausgearbeitet (www.privacycommission.be). Diese dreizehn Schritte behandeln Folgendes:

1. Bewusstmachung: Informierung der Mitarbeiter über die bevorstehenden Veränderungen.
2. Datenregister: Aufzeichnung, welche personenbezogenen Daten geführt werden, woher diese stammen und wer darauf Zugriff hat.
3. Kommunikation: Werden jetzt schon personenbezogene Daten verarbeitet? Dann müssen dem Betroffenen bestimmte Informationen verschafft werden, wie die Identität des Verarbeitenden und die Art und Weise, in der die Daten angewendet werden sollen. In der Regel werden diese Informationen anhand einer Datenschutzerklärung erteilt. Die Datenschutzerklärung muss um neue Informationstypen ergänzt werden.
4. Rechte des Betroffenen: ... das sind dieselben Rechte wie unter dem aktuellen belgischen Datenschutzgesetz mit einigen Verbesserungen. Die DSGVO schreibt u. a. Folgendes vor: Informierung und Zugang zu personenbezogenen Daten; Korrektur und Löschung der Daten; Beschwerde gegen Direct-Marketing-Praktiken; Beschwerde gegen automatisierte Beschlussfassung und Profilierung und Übertragbarkeit der Daten. Dieses Recht auf Datenportabilität ist neu.
5. Bitte um Zugang: in den meisten Fällen muss kostenlos und innerhalb von 30 Tagen (statt der jetzigen Frist von 45 Tagen) der Bitte um Zugang Folge geleistet werden.
6. Gesetzliche Grundlage für die Verarbeitung von personenbezogenen Daten: ... ist in der DSGVO quasi identisch mit jener im aktuellen Datenschutzgesetz. Prüfen Sie die Datenverarbeitung, bestimmen Sie die gesetzliche Grundlage und dokumentieren Sie diese im Licht der Verantwortungspflicht.
7. Zustimmung: die DSGVO erwähnt „Zustimmung“ und „explizite Zustimmung“. Der Unterschied ist nicht ganz deutlich. Die Zustimmung kann allerdings nicht aus einem Stillschweigen, einem vorab mit einem Häkchen versehenem Kästchen oder Untätigkeit abgeleitet werden.
8. Kinder: sammelt Ihr Unternehmen Daten von Kindern unter 16 Jahren, muss ein Elternteil oder ein Vormund seine Zustimmung erteilen, damit die Datenverarbeitung rechtmäßig ist.
9. Datenlecks: Datenlecks, bei denen es wahrscheinlich ist, dass dem Betroffenen irgendeine Form von Schaden zugefügt wird, z. B. aufgrund eines Identitätsdiebstahls oder der Verletzung einer Geheimhaltungspflicht, müssen der Datenschutzkommission im Prinzip innerhalb von 72 Stunden mitgeteilt werden. Auch der Betroffene muss dann informiert werden.
10. Datenschutz durch Technik (Privacy by Design) und Datenschutz-Folgenabschätzung (Privacy Impact Assessment): die DSGVO macht daraus eine deutliche gesetzliche Anforderung. Eine Folgenabschätzung ist nur in hohen Risikosituationen erforderlich, z. B. wenn eine neue Technologie eingeführt wird.
11. Datenschutzbeauftragter (Data Protection Officer): siehe oben.
12. International: wer international aktiv ist, muss festlegen, unter welche Aufsichtsbehörde er fällt.
13. Verträge: beurteilen Sie existierende Verträge, hauptsächlich mit Verarbeitern und Subunternehmern, und bringen Sie gegebenenfalls zeitnah Veränderungen an.

Strengere Kontrollen

Der Verstoß gegen die aktuellen Datenschutzgesetze bleibt so gut wie unbestraft, weil die Datenschutzkommission keine Bußgelder verhängen kann. Wer nicht GDPR-konform ist, darf allerdings strenge Kontrollen erwarten. Die Datenschutzkommission erhält nämlich Ermittlungs- und Verfolgungsbefugnisse. Bei Verstößen werden Verwaltungsbußgelder bis 20.000.000 EUR verhängt oder, im Fall eines Unternehmens, bis zu 4 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr, wenn dieser Betrag höher ist!

Siehe auch http://gdpr.wolterskluwer.be