GDPR - Was ist von den neuen europäischen Datenschutzvorschriften zu erwarten? (Teil 2)
Wir haben bereits einen informativen Beitrag über die neue, einheitliche europäische Datenschutzverordnung geschrieben, aber das Thema und seine Auswirkungen sind so umfangreich, dass wir nicht alle Informationen in einem einzigen Beitrag zusammenfassen konnten. Welche weiteren Rechte hat die betroffene Person und welche weiteren Pflichten hat der für die Verarbeitung Verantwortliche?
Bitte beachten Sie: Der folgende Artikel stellt keine offizielle Rechtsposition dar. Es handelt sich nicht um eine offizielle Erklärung zur Rechtsberatung. Obwohl die DSGVO-Verordnung unmittelbar anwendbar ist, kann die endgültige Form der ungarischen Rechtsvorschriften bis zum 25. Mai 2018 leicht abweichende Bestimmungen enthalten.
Was ist das Recht auf Datenübertragbarkeit?
Über das Recht auf "Vergessenwerden" haben wir bereits im ersten Teil unseres Artikels über den einheitlichen europäischen Datenschutz geschrieben, aber eine der vielleicht wichtigsten Neuerungen wurde noch nicht erwähnt: das Recht auf Datenübertragbarkeit. Im Rahmen dieses Rechts hat die betroffene Person das Recht, die einem für die Verarbeitung Verantwortlichen zur Verfügung gestellten personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten und diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln. Das Recht auf Löschung reicht nicht aus für die Verarbeitung im Internet, wo Daten nicht nur von einem für die Verarbeitung Verantwortlichen, sondern auch von vielen anderen Datenträgern gespeichert werden.
Wie werden die Rechte von Kindern in der Datenschutz-Grundverordnung ausgelegt?
Die EU-Datenschutzgrundverordnung legt auch Wert auf die Bedingungen für die Einwilligung von Kindern. Die vielleicht wichtigste Regel in diesem Zusammenhang ist, dass ein Kind unter 13 Jahren auf keinen Fall seine Zustimmung zur Nutzung von Online-Diensten geben darf. Dies bedeutet, dass Kinder unter 13 Jahren keine gültige Zustimmung für soziale Netzwerke, E-Mail-Konten und andere Internetseiten geben können und diese daher nicht nutzen dürfen. Eine gültige Zustimmung kann von einer Person über 16 Jahren gegeben werden, und zwischen den beiden Altersgrenzen ist die Zustimmung der Eltern für die rechtmäßige Verarbeitung der Daten eines Kindes erforderlich.
Welche Strafen gibt es bei Verstößen gegen die Vorschriften?
Wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter der betroffenen Person einen Schaden zufügt, kann er zum Schadenersatz verpflichtet sein. Davon können Sie nur befreit werden, wenn Sie nachweisen können, dass Sie für den Schaden nicht verantwortlich sind. Sind jedoch mehrere Steuergeräte oder Prozessoren an einem einzigen Verarbeitungsvorgang beteiligt, so haftet jedes Steuergerät oder jeder Prozessor für den gesamten Schaden. Es versteht sich von selbst, dass, wenn einer von ihnen den Schaden in voller Höhe bezahlt, er anschließend eine Gegenklage gegen die anderen für die Verarbeitung Verantwortlichen oder Verarbeiter einreichen kann, die an derselben Verarbeitung beteiligt sind.
Ab dem Inkrafttreten der Datenschutz-Grundverordnung (25.05.2018) müssen Unternehmen, die die Verordnung nicht einhalten, mit Geldbußen und Entschädigungen rechnen. Die Geldbußen werden wie folgt festgesetzt:
Bei Verstößen gegen die Bestimmungen für die für die Verarbeitung Verantwortlichen oder die Auftragsverarbeiter kann eine Geldbuße von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist) verhängt werden.
Bei Verstößen gegen die Grundsätze der Datenverarbeitung (z. B. Einwilligung), die Rechte der betroffenen Person oder die genehmigten Datenübertragungsmechanismen kann eine Geldbuße von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist.
Wie kann die "Pseudonymisierung" Ihnen helfen, die SFD einzuhalten?
Die Datenschutz-Grundverordnung enthält auch ein neues Konzept der Pseudonymisierung. Die Verarbeitung von Daten in einer Weise, dass ohne zusätzliche Informationen nicht mehr festgestellt werden kann, zu welcher konkreten Person die Daten gehören, wird nach der DSGVO als Pseudonymisierung bezeichnet. Die Pseudonymisierung ist rechtmäßig, wenn die zur Identifizierung der natürlichen Person erforderlichen zusätzlichen Informationen getrennt gespeichert werden und technische und organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass diese personenbezogenen Daten nicht mit identifizierten oder identifizierbaren betroffenen Personen in Verbindung gebracht werden können. Dieses Verfahren kann in vielen Fällen nützlich sein, z. B. bei der Erhebung statistischer Daten oder wenn jemand ein höheres Maß an Sicherheit in seinem eigenen System haben möchte. In der Verordnung wird die Pseudonymisierung an mehreren Stellen als legitime und angemessene Lösung für die Datenverwaltung erwähnt. Darüber hinaus hat die Pseudonymisierung den positiven Effekt, dass das Risiko für die betroffene Person verringert wird und sie möglicherweise eher bereit ist, in die Datenverarbeitung einzuwilligen.
Wann ist eine vorherige Datenschutz-Folgenabschätzung sinnvoll und notwendig?
Die Datenschutz-Grundverordnung sieht außerdem vor, dass der für die Verarbeitung Verantwortliche in bestimmten Fällen vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen muss. Bei Verarbeitungen mit hohem Risiko kann es für den für die Verarbeitung Verantwortlichen angebracht sein, vor der Verarbeitung eine Folgenabschätzung darüber durchzuführen, wie sich die geplanten Verarbeitungen auf den Schutz personenbezogener Daten auswirken werden, um sicherzustellen, dass das Recht auf informationelle Selbstbestimmung ordnungsgemäß durchgesetzt wird.
Dazu können Verarbeitungen mit hohem Risiko gehören: große Anzahl von betroffenen Personen, große Mengen personenbezogener Daten, Verarbeitung von Kindern, Profiling, Verfolgung von Verhalten oder Bewegungen.
Für welche Unternehmen wird die Bestellung eines DSB obligatorisch sein?
Die Datenschutz-Grundverordnung schreibt die Ernennung interner Datenschutzbeauftragter für ein breiteres Spektrum von für die Datenverarbeitung Verantwortlichen vor als das derzeit geltende ungarische Datenschutzgesetz. Die Ernennung eines internen Datenschutzbeauftragten ist für Behörden und Einrichtungen mit öffentlichen Aufgaben sowie für Einrichtungen, die Strafregister verwalten oder bearbeiten, obligatorisch. Darüber hinaus kann dies auch für Unternehmen gerechtfertigt sein, deren Haupttätigkeiten Datenverarbeitungsvorgänge umfassen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und umfassende Überwachung der betroffenen Personen erfordern.
Was erwartet die EU von der Einführung einer einheitlichen Datenschutzregelung?
Die Europäische Union erwartet, dass die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter infolge der Datenschutz-Grundverordnung viel stärker sensibilisiert werden, was dazu beitragen wird, Missbräuche zu verhindern oder leichter und schneller zu beseitigen. Aus diesem Grund wurden so hohe Bußgelder festgesetzt, damit alle, von den größten internationalen multinationalen Konzernen bis hin zu mittleren und kleinen Unternehmen, ein ausreichendes Argument haben, um Sicherheitsmaßnahmen einzuführen und kontinuierlich zu überwachen.
Wir hoffen, dass es uns am Ende dieses Artikels gelungen ist, die Pflichten hervorzuheben, die die für die Datenverarbeitung Verantwortlichen ab dem 25. Mai 2018 haben werden, damit Ihr Unternehmen die Verordnung einhalten kann.
Quellen:
https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html
Law Journal 2016/4.
https://jogaszvilag.hu/rovatok/szakma/2018-tol-jon-a-modernebb-de-szigorubb-adatvedelem