EU-Datenschutzgrundverordnung (EU-DSGVO)

27.03.2018 – Ab dem 25.5.2018 ist die bereits seit dem 25.5.2016 in Kraft getretene EU-Datenschutzgrundverordnung (VO 2016/679) in der gesamten Europäischen Union zwingend anzuwenden. Hierzu gilt ab diesem Zeitpunkt auch in Deutschland ein geändertes Bundesdatenschutzgesetz.

Anspruch der unmittelbar anwendbaren Verordnung ist es, den Datenschutz künftig in Europa einheitlich zu regeln. Das Datenschutzrecht soll dabei an den technologischen Fortschritt angepasst, Verfahren vereinfacht, Betroffenenrechte gestärkt und umfangreiche Verpflichtungen der verantwortlichen Stelle zur Dokumentation und Compliance eingeführt werden.

Anwendungsbereich, personenbezogene Daten und Grundbegriffe

  • In sachlicher Hinsicht findet die EU-DSGVO Anwendung auf die nicht-/automatisierte Verarbeitung von personenbezogenen Daten. Gemeint sind hiermit alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Räumlich anwendbar ist die Verordnung, soweit der Verantwortliche für die Datenverarbeitung bzw. der Auftragsverarbeiter in der Europäischen Union niedergelassen ist. Ausgeweitet wird der Anwendungsbereich auf alle Verarbeitungen, wenn sie sich an EU-Bürger wenden und personenbezogene Daten verarbeiten.
  • Verantwortliche im Sinn der EU-DSGVO sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
  • Als Auftragsverarbeiter wird eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Wesentliche Grundsätze der EU-DSGVO sind folgende:

  • Wie im BDSG gilt weiterhin das „Verbot mit Erlaubnisvorbehalt“. Für Datenerhebung und -verarbeitung muss jeweils eine Rechtfertigung vorliegen (z. B. Einwilligung oder Erforderlichkeit der Bearbeitung zur Erfüllung vertraglicher Verpflichtungen).
  • Die Rechte der betroffenen Personen werden durch Transparenz- und Informationspflichten wesentlich gestärkt.
  • Die Verordnung regelt umfangreiche Informationspflichten bei Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit sowie das Widerspruchsrecht.
  • Nur unter bestimmten Voraussetzungen ist ein Datenschutzbeauftragter verpflichtend zu ernennen. Jedoch sieht das BDSG eine Bestellungspflicht vor.
  • Die bisher bestehenden Voraussetzungen für eine Auftragsdatenverarbeitung gelten dabei nahezu fort. Der Auftragsverarbeiter ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Es ist ein schriftlicher Auftragsdatenverarbeitungsvertrag zu schließen, der bestimmte Mindestinhalte vorsieht.

Mazars hat ein Compliance-Modell zum Europäischen Datenschutz entwickelt und dieses Modell seitdem konsequent weiterentwickelt. Das an die EU-DSGVO angepasste Modell wurde mehrfach getestet und wird aktiv bei zahlreichen Mandanten angewendet. Das Modell hat vier Ebenen und unterstützt Organisationen dabei, Lücken zu identifizieren, Lösungen zu definieren und den Weg zur Compliance durch die Verwendung von vordefinierten Templates zu beschleunigen. Im Folgenden wird ein grober Maßnahmenkatalog dargestellt, der für die Einhaltung der EU-DSGVO herangezogen werden kann:

Dies ist ein Beitrag aus unserem Global Mobility Newsletter 1/2018. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.

Share