Anforderungen der EU-Datenschutz-Grundverordnung

Seit dem 25.05.2018 ist die EU-Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedstaaten der EU unmittelbar anwendbares Recht.

Die Unternehmen sind für die die Einhaltung der Datenschutzgrundsätze rechenschafts-pflichtig („accountability“) und müssen die Einhaltung nachweisen können (demonstrate compliance).

Risiken bei Non-compliance

Bei Verstößen gegen die Vorschriften drohen hohe Bußgelder. Beispielsweise bei Verletzung der Sicherheit der Verarbeitung bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes des Unternehmens. Oder bei bei Verletzung der Datenschutzgrundsätze oder der Rechte der betroffenen Personen bis zu 20 Mio. € bzw. bis zu 4% des weltweiten Jahresumsatzes des Unternehmens. Außerdem kann bei Verletzung der Pflichten für das betroffene Unternehmen weitere quantitative und qualitative Schäden entstehen (u.a. Datenverlust, Schadenersatz, Reputationsschaden, Umsatzeinbußen).

DS-GVO

Anforderungen und Pflichten

Die DS-GVO enthält über das bisherige Recht hinausgehende umfangreiche Anforderungen und Pflichten an die Unternehmen bzgl.

  1. der Verarbeitung personenbezogener Daten
  2. dem Umgang mit den Rechten der betroffenen Personen sowie
  3. dem Umgang mit der Verletzung des Schutzes personenbezogener Daten

Weitere Pflichten

  • Nachweispflichten über datenschutzkonforme Verarbeitung, Privacy by Design und Privacy by Default, Sicherheit der Verarbeitung, datenschutzkonforme Auftragsverarbeitung
  • Dokumentationspflichten der Verarbeitung (z.B. Verzeichnis von Verarbeitungstätigkeiten)
  • Informations-, Mitteilungs- und Auskunftspflichten gegenüber betroffenen Personen und Aufsichtsbehörden
  • Pflichten zur Risikoabschätzung, z.B. bei der Wahl der geeigneten technischen und oragnisatorischen Maßnahmen, sowie einer Datenschutz-Folgeabschätzung
  • Pflichten bzgl. der IT-Systeme, z.B. die Belastbarkeit (Resilienz) und Wiederherstellung nach Zwischenfällen
  • Prüfpflichten (audits), z.B. der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung