Neues zur europäischen Datenschutzverordnung
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 26. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr veröffentlicht, die üblicherweise als Allgemeine Datenschutzverordnung (DSGVO) bezeichnet wird. Diese Verordnung zielt darauf ab, die Bestimmungen über die Rechte in Bezug auf den Schutz der Privatsphäre und den Datenschutz zusammenzuführen und gemeinsame Sicherheitsstandards im digitalen Umfeld in den Ländern der Europäischen Union zu gewährleisten.
Der Stichtag für den Übergang von der Richtlinie, die durch die oben genannte Verordnung ersetzt wurde, ist der 6. Mai 2018, und ihre Bestimmungen werden am 25. Mai 2018 in vollem Umfang anwendbar sein. Es lohnt sich also zu wissen, welche Änderungen oder Anpassungen von den Unternehmen vorgenommen werden müssen, um die Einhaltung der neuen Datenschutzverordnung zu gewährleisten. Dies ist keine triviale Angelegenheit. Die von der spanischen Datenschutzbehörde (AEPD) verhängten Bußgelder sind erheblich. So kann die Nichteinhaltung der Datenschutzverordnung durch Unternehmen mit Strafen von bis zu 20.000.000 Euro oder 4 % des Jahresumsatzes des Unternehmens geahndet werden, je nachdem, welcher Betrag höher ist.
Die spanische Gesetzgebung zum Datenschutz ist sicherlich eine der fortschrittlichsten und gründlichsten in der Region, und zwar in einem Maße, dass sogar die europäische Verordnung von mehreren Bestimmungen des geltenden Organgesetzes 15/1999 vom 13. Dezember über den Schutz personenbezogener Daten (LOPD) inspiriert wurde. Aus diesem Grund dürfte die Anpassung an die neue europäische Verordnung für spanische Unternehmen, die bereits die geltende Gesetzgebung einhalten, kein großes Problem darstellen. Es lohnt sich jedoch, einige der Änderungen oder Ergänzungen zu bedenken, die die Umsetzung für diejenigen mit sich bringen wird, die für die Verarbeitung von Daten mit bestimmten Methoden verantwortlich sind, um sich an diese Änderungen anzupassen.
Nachstehend sind einige der wichtigsten Entwicklungen aufgeführt:
- Registrierung von Dateien: Die Verpflichtung, Dateien mit Daten bei den nationalen Datenschutzbehörden zu registrieren, wird aufgehoben. Jeder Datenverantwortliche muss ein internes Verzeichnis über die Datenverarbeitung führen, die er vornimmt.
- Folgenabschätzungen: Vor der Einführung von Datenschutzmaßnahmen muss das im Unternehmen bereits vorhandene System bewertet werden, ebenso wie die Auswirkungen der Datenverarbeitung auf die Person, die zur Verfügung stehenden Methoden und die Verfahren, die die Einhaltung der Verpflichtungen gewährleisten. Das Datenschutzsystem muss im Einklang mit dieser vorherigen Bewertung aufgebaut werden. Dies wird als „privacy by design“ bezeichnet.
- Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen: Ersteres bedeutet, dass der für die Datenverarbeitung Verantwortliche auf der Grundlage seiner spezifischen Umstände geeignete Maßnahmen ergreift. Datenschutz durch Voreinstellungen bedeutet, dass aufgrund der verwendeten Methoden nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden.
- Sicherheitsverletzungen: Die Verpflichtung, der Aufsichtsbehörde jede Sicherheitsverletzung bei der Datenverarbeitung mitzuteilen, wird ausgeweitet, d.h. die Zerstörung oder der Verlust gespeicherter oder übermittelter personenbezogener Daten oder der unbefugte Zugriff auf diese Daten oder deren unbefugte Übermittlung. Jede Sicherheitsverletzung muss der Aufsichtsbehörde innerhalb einer Frist von höchstens 72 Stunden nach ihrer Feststellung gemeldet werden.
- ARCO-Rechte: Hierbei handelt es sich um die klassischen Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch. Der Betroffene kann diese Rechte weiterhin frei ausüben. Neu ist jedoch, dass der für die Daten Verantwortliche die Beantwortung eines offensichtlich übermäßigen Antrags verweigern oder eine angemessene Gebühr erheben kann, die sich nach den Verwaltungskosten für die Bereitstellung der Informationen richtet. Als Neuerung wird die Aufnahme des Rechts auf Löschung hervorgehoben, das gemeinhin als Recht auf Vergessenwerden bezeichnet wird und bisher nur in der Rechtsprechung anerkannt war. Darüber hinaus wird die Möglichkeit eingeführt, dass die Erben die ARCO-Rechte, die dem Verstorbenen zustanden, ausüben können.
- Konformitätskontrolle: Der Verantwortliche muss jederzeit nachweisen können, dass jede einzelne Datenverarbeitung, die stattgefunden hat, mit den festgelegten rechtlichen Anforderungen übereinstimmt. Es geht also um eine verstärkte Kontrolle dieser Einhaltung.
- Datenschutzbeauftragter: Die Verordnung schafft diesen Beauftragten, der die für die Datenverarbeitung Verantwortlichen über die Verpflichtungen informiert, die für sie aufgrund der Verordnung gelten, und die ordnungsgemäße Einhaltung dieser Verpflichtungen überwacht. Öffentliche Stellen, die Daten verarbeiten, müssen diesen Beauftragten erwarten, ebenso wie private Unternehmen, die Daten in großem Umfang verarbeiten.
- Verhaltenskodizes: Ihr Vorhandensein stärkt das allgemeine Vertrauen der betroffenen Parteien. Die Unternehmen, die die notwendigen Anforderungen in Bezug auf den Datenschutz erfüllen, können sich an den Verhaltenskodex ihres Sektors halten.
Obwohl die Europäische Datenschutzverordnung noch weitere Änderungen mit sich bringt und die Erklärungen zu den einzelnen Änderungen sehr umfangreich sind, sollen in diesem Artikel nur einige Hinweise gegeben werden, damit die Unternehmen die Bedeutung der Verordnung, die in Kürze vollständig in Kraft treten wird, nicht außer Acht lassen.
Aufgrund der vorgenannten Verordnung liegt bereits ein Vorschlag für eine neue LOPD vor, die diejenige von 1999 ersetzen und vollständig an die Bestimmungen der neuen Verordnung angepasst werden soll.