Rechtskommentar:
Sind Sie schon auf die Europäische Datenschutz-Grundverordnung vorbereitet?
Rechtskommentar:
Die neue Gesetzgebung zum Datenschutz steht an! Die Endfassung der Europäischen Datenschutz-Grundverordnung wurde Ende April 2016 veröffentlicht. Diese Verordnung tritt am 25. Mai 2018 in Kraft und findet dann auch unmittelbare Anwendung in den Niederlanden. Was bedeutet das für Sie? Was genau sind die wichtigsten Änderungen?
Die wichtigsten Änderungen sind:
- Transparenz und Übersichtlichkeit bei der Verarbeitung personenbezogener Daten;
- Einstellung eines Datenschutzbeauftragten ("Data Protection Officer");Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen ("Privacy Impact Assessment");
- Erweiterung von Kategorien besonderer personenbezogener Daten;
- Mehr Bedingungen bei den Anforderungen an eine Einwilligung zur Verarbeitung personenbezogener Daten;
- Recht auf "Vergessenwerden";
- Kontrolle von Verträgen zur Auftragsverarbeitung;
- Harmonisierung von Sanktionen und deren Durchsetzung.
Transparenz und Übersichtlichkeit bei der Verarbeitung personenbezogener Daten
Als erstes werden Sie Rechenschaft über die Verarbeitung personenbezogener Daten ablegen müssen, wobei Transparenz das Schlüsselwort ist. Dafür müssen alle Verarbeitungen personenbezogener Daten dokumentiert werden. Außerdem müssen Sie eine aktuelle Auflistung dieser Verarbeitungen anlegen, sollte Ihr Unternehmen mindestens 250 Personen beschäftigen oder besonders sensible personenbezogene Daten wie Gesundheitsdaten verarbeiten.
Einstellung eines Datenschutzbeauftragten
Die Pflicht zur Einstellung eines Datenschutzbeauftragten gilt für:
- Behörden und staatliche Stellen;Organisationen, deren Kerntätigkeit die Verarbeitung personenbezogener Daten als Kerntätigkeit ist;Organisationen, deren Kerntätigkeit die Verarbeitung sensibler personenbezogener Daten ist.
Unklar ist, wann genau von "Kerntätigkeit" die Rede ist, aber denkbar ist, dass diese Pflicht in der Praxis für viele Organisationen gelten wird.
Ein Datenschutzbeauftragter informiert und berät Ihre Organisation zu Verpflichtungen aus der Datenschutzgesetzgebung und er kontrolliert deren Erfüllung. Darüber hinaus kann er sie im Hinblick auf die Durchführung von Datenschutz-Folgenabschätzungen beraten. Ein Datenschutzbeauftragter ist unabhängig und kann keine (An)Weisungen für diese Aufgaben erhalten. Außerdem genießt ein Datenschutzbeauftragter zusätzlichen (Kündigungs-)Schutz.
Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen
Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung existiert dann, wenn Ihre Organisation personenbezogene Daten verarbeiten möchte, die ein hohes Datenschutzrisiko für die Betroffenen beinhalten können. Sie prüfen dann vorab, welche Risiken bei eventuellen Verstößen gegen den Datenschutz existieren können, sodass Sie adäquate Maßnahmen ergreifen können. Jedenfalls ist Ihre Organisation zur Durchführung von Datenschutz-Folgeabschätzungen in den folgenden Fällen verpflichtet:
- bei systematischer und umfassender Beurteilung persönlicher Aspekte der betroffenen Personen, wie bei einem Profiling;
- bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten;
- bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche, beispielsweise mit Kameraüberwachung.
Erweiterung von besonderen Kategorien personenbezogener Daten
Besondere personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden. In der Europäischen Datenschutz-Grundverordnung werden die besonderen Kategorien mit sensiblen personenbezogenen Daten erweitert. Daten in Bezug auf ethnische Herkunft, genetische Daten und biometrische Daten zur Identifizierung einer Person, wie Fingerabdrücke, werden ausdrücklich als besondere personenbezogene Daten berücksichtigt.
Anforderungen an eine Einwilligung: mehr Sicherheit
Eine Grundlage für die Verarbeitung personenbezogener Daten ist das Einholen der Einwilligung des Betroffenen. Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung wurden mehr Bedingungen in Bezug auf die Anforderungen an diese Einwilligung festgelegt. Sie müssen eindeutig nachweisen können, dass der Betroffene seine Einwilligung erteilt hat. Eine stillschweigende und konkludente Einwilligung reicht nicht mehr aus. Dem Betroffenen muss außerdem klar sein, wofür genau er seine Einwilligung erteilt. Die Einwilligung muss deshalb speziell auf die betreffende Verarbeitung personenbezogener Daten ausgerichtet sein. Eine allgemeine Einwilligung, beispielsweise in den allgemeinen Geschäftsbedingungen, reicht nicht mehr aus.
Recht auf "Vergessenwerden"
Der Betroffene hat das "Recht, vergessen zu werden". Unter bestimmten Umständen müssen Sie, auf Verlangen des Betroffenen, seine personenbezogenen Daten löschen. Beispielsweise wenn die personenbezogenen Daten wurden unrechtmäßig verarbeitet oder der Betroffene hat seine Einwilligung für die Verarbeitung personenbezogener Daten widerrufen. In Verträgen zur Auftragsverarbeitung müssen daher entsprechende Klauseln integriert werden.
Kontrolle von Verträgen zur Auftragsverarbeitung
Sie werden Verträge zur Auftragsverarbeitung mit beispielsweise einem Hosting-Dienstleister kontrollieren müssen. In Verträgen zur Auftragsverarbeitung müssen auf Grundlage der Europäischen Datenschutz-Grundverordnung mehr Aspekte geregelt werden, als es jetzt der Fall ist. Zum Beispiel muss die Verpflichtung des Verarbeiters festgelegt werden, alle personenbezogenen Daten nach Ablauf des Vertrags zur Auftragsverarbeitung zu löschen oder Ihrer Organisation zurückzugeben, sofern nicht eine gesetzliche Aufbewahrungspflicht gilt. Ein anderes Beispiel ist die Verpflichtung, eine von Ihrer Organisation durchzuführende Datenschutz-Folgenabschätzung zu unterstützen.
Harmonisierung von Sanktionen und deren Durchsetzung
Die Durchsetzungs- und Sanktionsmöglichkeiten werden mit der Einführung der Europäischen Datenschutz-Grundverordnung harmonisiert. Die Europäischen Aufsichtsbehörden, einschließlich der niederländischen Autoriteit Persoonsgegevens, werden enger zusammenarbeiten. Außerdem können diese Aufsichtsbehörden Geldbußen von bis zu € 20.000.000,- Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes verhängen.
Ergebnis
Es gibt genug zu tun. Es ist noch Zeit bis Ende Mai 2018, um Ihre Organisation "kompatibel" zu machen!
Autoren:
Martijn Kortier | Advocaat
Petra Stickel | Sekretärin
DIRO-Kanzlei KienhuisHoving | Enschede / Niederlande