Welche Neuerungen treten mit 25. Mai in Kraft?

Im 2. Teil unserer Insights-Serie zur EU Datenschutz Grundverordnung beleuchten wir die wesentlichsten Neuerungen und Pflichten, die Unternehmen zukünftig umsetzen müssen und welche Rechte betroffene Personen haben.

Die in diesem Zusammenhang wichtigsten Änderungen und Begriffe:

Verantwortliche und ihre Pflichten

Als „Verantwortliche“ sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Der Datenverantwortliche muss der betroffenen Person zum Zeitpunkt der Datenerhebung bestimmte Informationen liefern (z.B. Identität und Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage, Empfänger der persönlichen Daten, das Recht, Beschwerde einzulegen). Es müssen dabei geeignete technische und organisatorische Vorkehrungen getroffen werden, um die Sicherheit und Vertraulichkeit zu gewährleisten. Es gilt die Nachweispflicht.   Außerdem gilt eine obligatorische allgemeine Meldepflicht für Datenverletzungen, die sowohl für Datenverantwortliche als auch für Datenverarbeiter gilt. Zu beachten ist dabei u.a., dass die zuständige Datenbehörde innerhalb von 72 Stunden und die betroffenen Personen unverzüglich über den Verstoß informiert werden müssen.  Weitere wichtige Verantwortlichkeiten umfassen auch den „Datenschutz durch Design“ und „standardmäßigen Datenschutz“ („by default“ and „by design“). Das beinhaltet vor allem die Datenminimierung (Minimierung der Verarbeitung personenbezogener Daten) und schnellstmögliche Pseudonymisierung, d.h. der Name wird z.B. durch eine mehrstellige Buchstaben- oder Zahlenkombination ersetzt. Datenschutz muss in neue Projekte eingebaut werden (by design).  Eine weitere relevante Verpflichtung umfasst die Bestellung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen und Auftragsverarbeiters eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung von z.B. strafrechtlichen Daten besteht. Ebenso enthält die Datenschutz-Grundverordnung einen zusätzlichen Schutz für Kinder:  Kinder unter 16 Jahren (in Österreich gilt: das vollendete 14. Lebensjahr) können keine Einwilligung erteilen d.h. für die Verarbeitung personenbezogener Daten ist die Einwilligung der Eltern erforderlich.

Datenschutz: Rechte von betroffenen Personen

 Die Verarbeitung gilt u.a. dann als rechtmäßig, wenn die betroffene Person der Verarbeitung ihrer Daten ausdrücklich zugestimmt hat; die Verarbeitung aus verschiedenen Gründen (rechtliche, lebenswichtige Interessen) notwendig ist oder für die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich ist. Die Einwilligung muss von der betroffenen Person freiwillig erteilt werden; sie darf sich nicht auf vorher angekreuzte Kästchen, Schweigen oder Untätigkeit stützen, stattdessen müssen sich die Benutzer positiv anmelden, indem sie beispielsweise mit dem Namen unterschreiben oder ein Kästchen ankreuzen, das eindeutig „ja“ angibt. Dabei gelten klare Leitlinien für die Datenerhebung und Verarbeitung: Die Zweckbindung der Datenverarbeitung muss eindeutig angegeben und die Daten zu einem bestimmten, expliziten und legitimen Zweck erhoben werden. Außerdem muss es jederzeit die Möglichkeit geben, die Zustimmung auf Verwendung der Daten zu widerrufen und eine Berichtigung oder Löschung personenbezogener Daten („Recht, vergessen zu werden“) oder eine Einschränkung der Verarbeitung zu verlangen. Die DSGVO schreibt auch vor, dass Daten nicht länger als nötig aufbewahrt werden dürfen, legt jedoch keine Fristen fest. Betroffene Personen haben stets das Recht darauf, Informationen in transparenter, prägnanter, klarer und leicht zugänglicher Form zu erhalten.

Soweit zu den Rechten und Pflichten, die am 25. Mai EU-weit gelten. Im letzten Teil unserer „Insights“ Serie zum Thema EU – Datenschutzgrundverordnung der demnächst erscheinen wird, erfahrt ihr, ob und wie sich die Bestimmungen zukünftig auf die Zusammenarbeit mit FLAVE im Zusammenhang mit Events auswirken.