Pflichten bei der Verarbeitung der Daten

Jetzt gilt der risikobasierte Ansatz, Art. 24 Abs. 1 DSGVO

Der risikobasierte Ansatz der DSGVO verlangt von den Unternehmen erforderliche Aktivitäten. Zunächst sind im Vorfeld bezogen auf diese Datenverarbeitung bestehenden Risiken vorab einzuschätzen. Je nach dem, welche Konsequenzen ein Verstoß zur Folge hätte, wie hart die Folgen und in welchem Umfang sie zu befürchten sind (sog. Risiko-Einschätzung im Vorfeld) sind geringere, durchschnittliche oder erhebliche Maßnahmen im Vorfeld zur Verhinderung eines Eingriffs in das Schutzfeld der Personen zu ergreifen; die Maßnahmen müssen in diesem Sinne angemessen sein.

Risiko-Einschätzung, Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte:
  • Große Datenmengen von einer Vielzahl von Personen
  • Denkbarer Verlust der Kontrolle

Hieraus ergeben sich Handlungspflichten nach der DSVO

  1. Im Vorfeld der Erhebung der Daten
  2. In der Behandlung der erhobenen Daten
Zu Punkt 1: Schritte im Vorfeld, Datenschutzvorkehrungen:

Datenschutz ist kein Selbstzweck. Der Schutz von Persönlichkeitsrechten und der Schutz der Privatsphäre sind bereits präventiv zu besorgen. Die DSGVO sieht hier, neben der Bestellung eines Datenschutzbeauftragten, eine Reihe von Rechenschaftspflichten (inkl. Dokumentationspflichten) und Informationspflichten (Datenschutzinformation etc.) der Unternehmen vor. So sind nunmehr den Datenschutzbehörden bei einer Überprüfung des Unternehmens präventive Maßnahmen im Bereich Datenschutz im Sinne des risikobasierten Ansatzes der DSGVO nachzuweisen.

Zu Punkt 1: Verpflichtende Maßnahmen, im Vorfeld einzurichten, Art. 32 Abs. 1 DSGVO

Implementierung von TOM (technische und organisatorische Maßnahmen) um eine dem jeweiligen Risiko angemessenes Schutzniveau herzustellen; hier seien exemplarisch genannt:

  1. Zugans-, Zugriffs- und Weitergabekontrollen bezüglich erhobener Daten
  2. Neu: Pseudonymisierungspflichten, Art. 32 Abs. 1 lit a DSGVO
  3. Regelmäßige Prüfung und Evaluierung der Datensicherheit, Art. 32 Abs. 1 lit. d DSGVO
  4. Datenvermeidung durch NEU: Privacy by Design gem. Art. 25 DSGVO
  5. Art. 25 DSGVO und damit Schutz der Privatsphäre schon bei der Produktentwicklung.
Zu Punkt 2: Maßnahmen bei der Datenerhebung:

Transparenzgebot, Art 13 und 14 DSGVO führt zur Pflicht des Verarbeiters, den Betroffenen in dreierlei Hinsicht vorab zu informieren :

  • Datenschutzinformation allgemein
  • sein Widerspruchsrecht nach Art. 21 DSVO hinzuweisen.
  • Zweckbindung
Als Maßnahmen wirken auch die gesetzlich vorgeschriebenen Routinen und Schritte: 
  1. Bestellung des Datenschutzbeauftragten
  1. Bestandsaufnahme, das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
  1. Löschroutine (Prinzip der Datenminimierung, Regelmäßig sind gespeicherte Personendaten daraufhin zu prüfen, ob ihre Speicherung noch erforderlich ist, oder ob diese nicht mehr benötigt werden)
  1. Überprüfung der Daten auf Ihre Richtigkeit nach Art. 5 Abs. 1 (d) DSGVO
Neu: Verschärfte Meldepflichten bei Datenpannen
  1. Meldung an die Aufsichtsbehörde, Art. 33 DSGVO
  2. Zusätzlich kann die Benachrichtigung der betroffenen Person verlangt sein, wenn ein hohes Risiko mit der Datenpanne verbunden ist, Art. 34 DSGVO

 

Die Haftung für Schäden aufgrund von Datenpannen, Art. 82 DSGVO setzt Verschulden seitens des Anspruchsgegners voraus

Rechtsbehelfe des Anspruchsführers, Beschwerde bei der Datenschutzbehörde, Art. 77 DSGVO

Neben dem ordentlichen Rechtsweg, bei dem der Betroffene etwa auf Unterlassung klagen kann oder auf Auskunft, kann dieser auch die Datenschutzbehörde anrufen.

Strafen/Bußgelder
  • Vorsicht: Bei Verstoß gegen die Meldepflicht drohen Geldbußen von bis zu 10.000.000,- EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs

Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde im Rahmen von berechtigten Maßnahmen der Aufsichtsbehörde nach diesem Gesetz werden Geldbußen von bis zu 20.000.000,- EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs

siehe hierzu auch: 

Rechtsprechung