Home / Aktuelles & Termine / it.sec blog

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 25.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Anwendbarkeit der DSGVO

Die Datenschutzgrundverordnung gilt für alle Datenverarbeitungsprozesse, die sich auf personenbezogene Daten von betroffenen Personen, die sich in der europäischen Union befinden, beziehen. Das gilt bei einer Verarbeitung im Rahmen einer EU-Niederlassung, dem Angebot von Waren und Dienstleistungen in der EU sowie bei der Verhaltensbeobachtung von Personen in der EU.

Sie gilt für ganz oder teilweise automatisierte Verarbeitungen personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Begrifflichkeiten

Im Rahmen der DSGVO werden auch genetische und biometrische Daten unter den Begriff der sensiblen personenbezogenen Daten gefasst, Art. 4 und 9 DSGVO. Auch haben sich Begrifflichkeiten geändert, so wird beispielsweise der Auftragsdatenverarbeiter zum Auftragsverarbeiter und die verantwortliche Stelle zum Verantwortlichen.

Besondere personenbezogene Daten

Die besonderen Kategorien personenbezogener Daten finden sich in Art. 9 DSGVO. Folgende Kategorien sind dabei erfasst:

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten
  • biometrische Daten,
  • Gesundheitsdaten,
  • Sexualleben sowie sexuelle Orientierung.

Insofern sind gegenüber dem BDSG nur drei weitere Kategorien hinzugekommen: die genetischen und biometrischen Daten sowie die sexuelle Orientierung.

Die Verarbeitung dieser besonderen Daten bleibt grundsätzlich verboten. Diese dürfen nur dann verarbeitet werden, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Einwilligung: Diese Erklärung muss ausdrücklich durch den Betroffenen erfolgen.
  • Die Verarbeitung Zwecken der Gesundheitsvorsorge und Arbeitsmedizin etc. dient.
  • Im öffentlichen Interesse liegende Wissenschafts- und Archivzwecke.
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten (die Mitgliedstaaten haben hier die Möglichkeit, zusätzliche Regelungen zu schaffen).
  • Zum Schutz lebenswichtiger Interessen, oder die Daten wurden durch den Betroffenen offenkundig öffentlich gemacht.
  • Mit der Datenschutzgrundverordnung gibt es zudem eine separate Regelung in Art. 10 DSGVO bezüglich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen.

Auch an anderen Stellen der DSGVO wird auf die besonderen Datenkategorien konkret Bezug genommen. Beispielsweise bei der Folgenabschätzung in Art. 35 DSGVO oder bei der Pflicht zur Führung eines Verfahrensverzeichnisses in Artikel 30 DSGVO.

Fazit

Alle Datenverarbeitungsprozesse die sich auf personenbezogene Daten von betroffenen Personen, die sich in der EU befinden, beziehen, unterliegen der DSGVO.

Die Begrifflichkeiten haben sich leicht geändert, hinter ihnen versteckt sich jedoch das gleiche Konstrukt. Auch die besonderen personenbezogenen Daten wurden erweitert, jedoch hat sich im Grundsatz nichts daran geändert, dass deren Verarbeitung grundsätzlich verboten ist.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 24.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten. Steht eine Verordnung im Konflikt mit einem nationalen Gesetz, so hat die Verordnung Vorrang. Das BDSG findet dann über weite Strecken keine Anwendung mehr und wird vom Gesetzgeber in naher Zukunft reformiert werden.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Die Datenschutzerklärung

Alle Datenschutzerklärungen sind bis 2018 zu ergänzen. Die Informationsrechte der Betroffenen sind in der Datenschutzgrundverordnung stark erweitert worden. Es sind dem Betroffenen u.a. nun folgende Informationen mitzuteilen:

  • Angabe zur Identität und Kontaktdaten des Datenschutzbeauftragten.
  • Zweck und Rechtsgrundlage der Datenverarbeitung.
  • Bei Übermittlung der Daten in ein Land außerhalb der EU muss der Betroffene explizit darüber informiert werden (incl. entsprechender Rechtsgrundlage). Bei EU-Standardvertragsklauseln oder Binding Corporate Rules muss eine Kopie oder zumindest ein Link zu diesen bereitgestellt werden.Stützt der Verantwortliche den Verarbeitungsprozess auf berechtigte Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist er verpflichtet, die jeweiligen Interessen anzugeben.
  • Die Betroffenen sind auf ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit Widerspruch und Beschwerderecht bei der Aufsichtsbehörde hinzuweisen.

Diese Informationen müssen gemäß Art. 12 DSGVO in leicht verständlicher Sprache für den Betroffenen leicht erreichbar sein. Sie können auf einer Webseite im Rahmen der Datenschutzerklärung oder in einer anderen elektronischen Form zur Verfügung stehen.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Betroffenenrechte BGH Compliance Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldepflicht Meldescheine Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediengesetz Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31