Sprungmarken zu den wichtigsten Seitenabschnitten


Suche Hauptnavigation A-Z Übersicht Hauptinhalt Servicelinks


IHK Trier


Seitenkopf

Seitenhauptinhalt

  • 01.12.2017

    Achtung bei personenbezogenen Daten!

    Neue Datenschutz-Grundverordnung klopft an die Tür

  • Foto: Reinhard Neises
    Recht und Steuern

    Reinhard Neises

    Tel.: 0651 9777-450
    Fax: 0651 9777-405
    neises@trier.ihk.de


Dieser Text ist vom 01.12.2017 und könnte inhaltlich veraltet sein.
Am 25. Mai 2018 wird die Europäische Datenschutz-Grundverordnung (DS-GVO) wirksam. Sie regelt künftig den Datenschutz unmittelbar auch in Deutschland und enthält einige Neuerungen. Die wichtigsten Fragen zu den neuen Regelungen hat uns Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, beantwortet. Nach den ersten Antworten in der Novemberausgabe der IHK-Zeitschrift folgt nun der zweite Teil des Interviews.

Ein Kernelement im Datenschutz ist die Einwilligung zur Datennutzung. Gibt es hier Änderungen?

„Bisher erteilte Einwilligungen können unter bestimmten Voraussetzungen fortgelten, sofern sie der Art nach den Bedingungen der DS-GVO entsprechen. Einwilligungen müssen bereits jetzt und auch künftig freiwillig und informiert erfolgen. Auch die Zweckgebundenheit der Einwilligung ist ein derzeit herrschender Grundsatz, der weiter gelten wird. Neu sind im Zusammenhang mit der Freiwilligkeit der Einwilligung das in der DS-GVO nunmehr ausdrücklich geregelte, generell geltende sogenannte Kopplungsverbot sowie die jederzeitige Widerrufbarkeit. Künftig wird die Einwilligung grundsätzlich formfrei möglich sein. Der Verantwortliche, also zum Beispiel das Unternehmen, muss aber nachweisen können, dass eine Einwilligung vorliegt. Für die Einwilligung von Kindern in Bezug auf Dienste der Informationsgesellschaften werden Besonderheiten gelten.“

Ändert sich etwas bei Bestellung sowie bei Rechten und Pflichten der Datenschutzbeauftragten in den Unternehmen?
„Private Datenverarbeiter müssen einen Datenschutzbeauftragten bestellen, wenn ihre Haupttätigkeit entweder in einer systematischen Überwachung von Personen oder der umfangreichen Verarbeitung besonders schutzbedürftiger Daten besteht (zum Beispiel Adresshändler, Auskunfteien, Internetprovider, Krankenhäuser). Das neue BDSG weitet diese Pflicht unter anderem auf Stellen aus, bei denen in der Regel mindestens zehn Personen personenbezogene Daten automatisiert verarbeiten. Ein Verstoß gegen die Bestellungspflicht kann sanktioniert werden.

Künftig wird der Datenschutzbeauftragte neben seiner Beratungsfunktion verstärkt die Rolle eines Compliance-Beauftragten zum Datenschutz einnehmen, der intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb seiner Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten soll, zum Beispiel bei der Datenschutz-Folgenabschätzung. Vor allem diese eher risikoorientierten, koordinierenden und bewertenden Aufgaben stellen im Vergleich zu der bisherigen Rechtslage eine gravierende Änderung der praktischen Tätigkeit der Datenschutzbeauftragten und damit auch ihrer internen Rolle dar. Die Zuständigkeit für die Einhaltung der Vorschriften trägt der Verantwortliche selbst, der oder die Datenschutzbeauftragte soll die Einhaltung unterstützen und überwachen.

Die mit der Bestellung eines Datenschutzbeauftragten einhergehenden Pflichten des Verantwortlichen werden von der Verordnung deutlich benannt. Für die interne Einbindung des Datenschutzbeauftragten ist bereits die Pflicht zur Veröffentlichung seiner Kontaktdaten bedeutsam. Besonderes Gewicht hat allerdings die klare Verpflichtung des Verantwortlichen, dem Datenschutzbeauftragten die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen.“

Gibt es auch Erleichterungen für die Unternehmen?
„Erleichterungen gibt es zum Beispiel bei der Schriftform. Die DS-GVO lässt künftig auch elektronische Wege zu, etwa bei der Einwilligung, dem Vertrag zur Auftragsverarbeitung oder bei der Auskunft an den Betroffenen. Auch setzt die DS-GVO verstärkt auf die datenschutzrechtliche Selbstregulierung durch die Verantwortlichen. Genehmigte Verhaltensregeln und Zertifizierungen können Nachweise für einen verordnungskonformen Umgang mit personenbezogenen Daten darstellen.“

Welche Punkte sollten Unternehmen bis Mai 2018 unbedingt erledigt haben?

„Unternehmen sollten bereits jetzt einen Maßnahmenplan erstellen. Zunächst sollte die Geschäftsleitung informiert werden. Sodann sollte eine Bestandsaufnahme aller Verfahren, in und mit denen personenbezogene Daten verarbeitet werden, erfolgen. Schließlich sind diese Verfahren dahingehend zu überprüfen, ob es einen Anpassungsbedarf im Hinblick auf die DS-GVO gibt. Dies betrifft insbesondere die rechtlichen, technischen und organisatorischen Bereiche in einem Unternehmen.“

Seitenfuß