• 0228 / 95 50 160
Marken der Safety Xperts Familie

Änderung Datenschutzgesetz 2018: Das ist neu!

© deepadesigns – Shutterstock
Änderung Datenschutzgesetz 2018

Änderung Datenschutzgesetz 2018: Am 25. Mai 2018 trat die neue EU-Datenschutz-Grundverordnung ( DSGVO) in Kraft. Sie wird zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechtes führen und die teils großen Unterschiede der nationalen Regelungen beseitigen. Dies bedeutet auch für deutsche Unternehmen, dass Anpassungen im Datenschutzmanagement und eventuell auch der Daten- und Aktenvernichtung erforderlich sind.

Neue EU-Verordnung stellt hohe Anforderungen

Die wichtigsten Ziele der EU- DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Hierfür definiert die Verordnung 9 festgelegte Grundsätze der Verarbeitung personenbezogener Daten:

  • Rechtmäßigkeit
  • Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Nicht alles wird neu, aber vieles wird anders

Da unter anderem auch das deutsche Datenschutzgesetz als Vorlage für die DSGVO diente, wird die neue EU-Verordnung nicht alles umwälzen, was wir an Datenschutzanforderungen kennen. Die neuen Regelungen weisen aber eine Reihe von in der Praxis erheblichen Änderungen auf, auf die Sie sich jetzt einstellen müssen.

Einen ersten guten Überblick über die neue Verordnung erhalten Sie, indem Sie anhand der Facts-Liste prüfen, welche Anforderungen Ihr Unternehmen erfüllen muss.

Fact 1: Fast alle Unternehmen sind von der DSGVO betroffen

Der Anwendungsbereich der Verordnung bringt keine wesentlichen Neuerungen und umfasst die automatisierte Verarbeitung  personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Eine automatisierte Datenverarbeitung liegt bei fast jeder Datenerfassung durch Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner, Kopierer oder andere Geräten vor. Nur die handschriftliche Aufzeichnung ist hiervon ausgenommen, doch selbst diese fällt unter den Anwendungsbereich der Verordnung, wenn sie z. B. in einem Ordner abgelegt wird, da dies bereits ein Dateisystem darstellt.

Unter personenbezogenen Daten werden vor allem Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder die IP-Adresse einer Person verstanden. Alle Daten, die aufgrund ihres Inhalts einer Person irgendwie zugeordnet werden können und so eine mittelbare Identifikation möglich machen, fallen damit unter den  Anwendungsbereich.

Das bedeutet für Sie: In der Praxis gilt die DSGVO damit für sämtliche personenbezogenen Daten im geschäftlichen Verkehr.

Fact 2: Die Verordnung gilt unter Umständen auch für Unternehmen außerhalb der EU

Der räumliche Anwendungsbereich der DSGVO bringt die erste wesentliche Neuerung.

Denn die Verordnung gilt: 

  1. für alle Aktivitäten der personenbezogenen Datenverarbeitung, wenn das Unternehmen eine aktive Niederlassung innerhalb der EU hat, egal, wo die Datenverarbeitung letztendlich sattfindet. Sobald ein Unternehmen also eine feste Einrichtung innerhalb der EU betreibt, die eine effektive und tatsächliche Ausübung einer Tätigkeit erlaubt, fällt die damit in Bezug stehende Datenverarbeitung unter den Geltungsbereich der DSGVO, auch wenn diese nicht in der EU stattfindet.
  2. für geschäftliche Beziehungen mit Personen innerhalb der EU, wenn Waren oder Dienstleistungen in der EU angeboten werden oder das Verhalten von Personen innerhalb der EU beobachtet wird. Dabei ist unerheblich, ob das anbietende bzw. beobachtende Unternehmen einen Sitz oder eine Niederlassung in der EU hat. Auch die betroffenen Personen müssen keine EU-Bürger sein. Es genügt, dass sie sich in der EU aufhalten.
  3. für die Datenverarbeitung eines nicht in der EU ansässigen Verantwortlichen, wenn die Datenverarbeitung innerhalb der EU stattfindet.

Fact 3: Die Rechte der Betroffen wurden gestärkt

Auch die Rechte der betroffenen Personen werden mit der DSGVO (Änderung Datenschutzgesetz 2018) gestärkt und im Vergleich zur aktuellen Gesetzgebung zum Teil  ausgeweitet. Dabei bieten vor allem die neuen Transparenz- und Informationspflichten für Unternehmen einen deutlich stärkeren Schutz
des Betroffenen als die noch geltenden Regelungen des Bundesdatenschutzgesetzes.

Diese Rechte hat der Betroffene einer Datenverarbeitung:

  • Informationsrecht: Betroffene müssen bereits bei der Datenerhebung über den Inhalt der erhobenen Daten und weitere organisatorische Aspekte der Datenverarbeitung, wie z. B. Profiling-Vorhaben, informiert werden.
  • Auskunfts- und Widerspruchsrecht: Betroffene können in angemessenen Abständen eine Auskunft über die Datenspeicherung sowie weitere Hintergründe der Datenverarbeitung einholen. Auch ein Widerspruch der Datenspeicherung ist jederzeit möglich.
  • Recht auf Berichtigung, Löschung und Einschränkung: Betroffene haben die Möglichkeit, die sofortige Vervollständigung oder auch Löschung ihrer personenbezogenen Daten zu verlangen. Gelöscht werden müssen die Daten, wenn eine Speicherung nicht mehr erforderlich ist, die Speicherung widerrufen oder die Daten unrechtmäßig verarbeitet wurden. Die hierfür erforderliche Daten- oder Aktenvernichtung betrifft in besonderem Maße Ihr Abfall- oder Umweltmanagement.
  • Recht auf Datenübertragbarkeit: Betroffene können künftig die von ihnen zur Verfügung gestellten Daten von einer automatisierten  Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung übertragen lassen. Damit soll beispielsweise der Wechsel von einem Anbieter zu einem anderen ohne den Verlust der Daten erleichtert werden.

Das bedeutet für Sie: Überprüfen Sie den Prozess der Datensammlung, -speicherung und -verarbeitung in Ihrem Unternehmen. Schulen Sie auch Ihre Mitarbeiter zu den Änderungen, da diese letztendlich mit den Kundendaten arbeiten müssen. Eine Möglichkeit zur Schulung bietet die „Mitarbeiterinformationsbroschüre zum Datenschutz“ von Andreas Würtz.

Fact 4: Die DSGVO betrifft auch den Datenschutz Ihrer Beschäftigten

Die Regelungen zum Beschäftigten- oder Arbeitnehmerdatenschutz finden sich in der aktuellen Gesetzgebung in unterschiedlichen bereichsspezifischen Gesetzen, was die Rechtskonformität schwierig gestaltet. Hier bringt die DSGVO leider nicht die erhoffte Verbesserung – im Gegenteil:

Es sind keinerlei spezifische, rechtsgestaltende Regelungen zum Beschäftigtendatenschutz enthalten, die grundlegenden Regelungen gelten aber auch – und zusätzlich zur bestehenden Rechtslage – im Beschäftigtenverhältnis. Hier muss nun also geprüft werden, ob Ihre Regelungen zum Beschäftigtendatenschutz auch den Regelungen der DSGVO entsprechen.

Fact 5: Viele Unternehmen müssen auch technische Maßnahmen treffen

Die Datenschutz-Grundverordnung enthält neben den bisher bestehenden Pflichten weitere neue Anforderungen. Die wesentliche Herausforderung hierbei ist die Pflicht, geeignete technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzanforderungen zu installieren.

Solche Maßnahmen könnten unter anderem darin bestehen:

  • die Verarbeitung personenbezogener Daten zu minimieren,
  • personenbezogene Daten so schnell wie möglich zu pseudonymisieren,
  • Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten herzustellen,
  • der betroffenen Person zu ermöglichen, die Datenverarbeitung zu kontrollieren oder zu überwachen,
  • Sicherheitsfunktionen zu schaffen und zu verbessern.

Auch die Daten- und Aktenvernichtung ist von dieser wesentlichen Pflicht betroffen. Denn auch hier stellen technische und organisatorische Maßnahmen einen erheblichen Teil des Datenschutzes dar.

Unsere Empfehlung: Wenn Sie anhand dieser 5 kurzen Checks feststellen, dass Ihr Unternehmen hinsichtlich der Datenschutzanforderungen noch nicht ausreichend auf die neue DSGVO vorbereitet ist, sollten Sie schnellstmöglich mit der Einrichtung eines Datenschutzmanagements beginnen.

Die Anforderungen, die Sie als Umwelt- oder Abfallbeauftragter bei der Daten- und Aktenvernichtung treffen, sind nicht wesentlich neu. Sie rücken aber aufgrund der neuen Verordnung wieder stärker ins  Bewusstsein.

Änderung Datenschutzgesetz 2018: So einfach erfüllen Sie die rechtliche Forderung

Eine rechtskonforme Vorgehensweise lässt sich einfach umsetzen: Beauftragen Sie nur Unternehmen mit der Vernichtung sensibler Akten und Dokumente, die nachweisen können, die Vorgaben der DIN 66399 (insbesondere des SPEC-Teil 3) einzuhalten, und dies auch von  abhängigen Sachverständigen kontrollieren lassen. Hier bietet beispielsweise das Qualitätssiegel des bvse-Fachverbands Akten- und Datenträgervernichtung eine wertvolle Orientierungshilfe.

Bietet Ihr Entsorger zusätzlich die Möglichkeit einer mobilen Datenträger- oder Aktenvernichtung bei Ihnen vor Ort, sollten Sie hiervon auf jeden Fall Gebrauch machen. Denn dies hat den Vorteil, dass Sie die Vernichtung selbst überwachen können und Ihre sensiblen Daten nicht erst über den öffentlichen Raum transportiert werden müssen. Mehr zum Thema Entsorgung vertrauensvoller Daten erfahren Sie in dem Artikel: Daten- und Aktenvernichtung nach der neuen DSGVO

Entdecke weitere interessante Artikel zum Thema Gesetze und Verordnungen:

Autor: Christian Schweizer und Stefan Küst

 

Sie haben Fragen? Rufen Sie uns an.
0228 / 95 50 160

* Selbstverständlich können Sie die Broschüren auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.