EU-Datenschutzgrundverordnung - Neuerungen

Welche Anforderungen stellt die EU-Datenschutzgrundverordnung an die Unternehmen?

Am 25. Mai 2016 ist die EU-Datenschutzgrundverordnung in Kraft getreten. Sie führt am 15. Mai 2018 verbindlich und europaweit zur Ablösung des nationalen Datenschutzrechtes. Das Ziel dieser Verordnung ist es, die Rechte der Inhaber personenbezogener Daten zu stärken sowie die Harmonisierung des europäischen Datenschutzrechtes voranzutreiben.

Unternehmen sind jetzt gefordert ihre datenverarbeitenden Prozesse und Strukturen zu überprüfen und Anpassungs- bzw. Entwicklungsbedarfe zu identifizieren. Es empfiehlt sich in einem ersten Schritt einen Abgleich des bestehenden Datenschutzsystems mit den Anforderungen der Verordnung vorzunehmen, um die Anpassungsbedarfe für das Datenschutzkonzept sowie die Datenschutzorganisation und den erforderlichen Aufwand identifizieren zu können.  

Die wichtigsten Änderungen im Überblick:

  • Datenschutzorganisation: Die EU-Datenschutzgrundverordnung fordert eine Datenschutzorganisation ein, die auf einem Datenschutzkonzept beruht, welches die Anforderungen der Verordnung umsetzen und einhalten kann.
  • Informations- und Transparenzpflicht: Das Unternehmen als verantwortliche Stelle unterliegt gesteigerten Informations- und Transparenzpflichten, die von der Datenschutzorganisation eingehalten werden müssen.
  • One-Stop Shop Prinzip: Inhaber personenbezogener Daten, also Kunden, Verbraucher und Mitarbeiter können sich bei Beschwerden immer an die Datenschutzbehörde ihres Mitgliedstaates wenden, ganz egal in welchem Mitgliedstaat der Datenmissbrauch passiert ist. Gleiches gilt für Unternehmen, diese müssen nur noch mit der Datenschutzbehörde des Mitgliedstaates Zusammenarbeiten in dem sich der Hauptsitz des Unternehmens befindet.
  • Erhebliche Sanktionen: Unternehmen, die gegen die Datenschutzregeln verstoßen, müssen mit Strafen von bis zu vier Prozent ihrer Jahresumsätze bzw. EUR 20.000.000,00 rechnen.
  • Privacy by design: Die von den verantwortlichen Stellen genutzte Technik für die Datenverarbeitung hat die datenschutzrechtlichen Bestimmungen einzuhalten. Dieses berücksichtigt insbesondere die Verbindung zu den IT-Strukturen und Prozessen.
  • Meldepflicht: Es besteht die Verpflichtung, Verletzungen gegen personenbezogene Daten innerhalb von 72 Stunden zu melden. Dies gilt für solche Fälle, in denen die Verletzung Risiken für die Rechte des Betroffenen birgt.

 

 

 

Downloads
Kontakt
+49 170 913 76 17