Fragen und Antworten zur ab dem 25. Mai geltenden EU-Verordnung

Die neue Datenschutz-Grundverordnung: Datenschutzbeauftragte gehören zur Firma

Eschwege. Am 25. Mai läuft die Übergangsfrist für die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) aus - ab dann müssen alle Unternehmen die neuen Regeln anwenden. Wir klären die wichtigsten Fragen zu diesem Thema.

Wenn das E-Mail-Postfach in naher Zukunft überläuft, werden Spam-Mails nicht der einzige Grund sein: Schon jetzt weisen viele Unternehmen auf neue Datenschutzerklärungen hin und kommen ihren bevorstehenden Informationspflichten nach. Anlässlich der neuen Datenschutz-Grundverordnung der Europäischen Union referierten Dr. Rolf Momberg und Alice Jänsch der Kanzlei Momberg in der Volkshochschule Eschwege über Neuerungen und zwingende Neuregelungen.

Was ist die EU-Datenschutz-Grundverordnung?

Die Europäische Datenschutz-Grundverordnung trat im Mai 2016 in Kraft und ist ab Freitag, 25. Mai 2018, zwingend anzuwenden. Sie dient im Wesentlichen dem Schutz natürlicher Personen hinsichtlich ihrer Grundrechte und -freiheiten bei der Verarbeitung personenbezogener Daten (PBD) durch private Unternehmen und öffentliche Einrichtungen.

Was kommt auf Unternehmen und öffentliche Einrichtungen zu?

Ein neuer Stammgast: „In Zukunft gehört ein Datenschutzbeauftragter genauso zum Unternehmen wie der Steuerberater und Rechtsanwalt“, fasst Momberg zusammen. Unternehmen mit mehr als neun Personen, die auf PBD zugreifen, und Behörden müssen ab dem 25. Mai einen Datenschutzbeauftragten ernennen; dies könne sowohl eine interne Person als auch ein externes Unternehmen sein. Beauftragte müssen Jahresberichte verfassen und die Umsetzung der Grundsätze der DSGVO kontrollieren. Hierzu gehören unter anderem neue Zugriffskontrollen, die Vertraulichkeit, Zweckbindung und Rechtmäßigkeit von PBD.

Gilt es formale Neuerungen umzusetzen?

Mehr als genug. „Derzeit ebbt die Welle an Abmahnklagen aus dem Internet ab – und wird vermutlich durch Klagen gegen Nichteinhaltung der DSGVO ersetzt“, spekuliert Momberg. Es gelten striktere Anforderungen bei Webauftritten hinsichtlich des Impressums und der Datenschutzerklärung, die umfangreicher und spezifischer ausfalle und direkt zu erreichen sein müsse. Ebenso müsse beim Umgang mit PBD ein ausführliches Verzeichnis der Verarbeitungstätigkeiten vorzulegen sein, in dem beschrieben wird, bei welchen Vorgängen welche Daten auf welche Art und Weise verarbeitet und gespeichert werden. Auch die Informationspflicht der Betroffenen und die Meldepflicht bei Datenpannen (innerhalb von 72 Stunden) wurde verschärft und Strafgelder erhöht.

Welche Rechte entstehen für Betroffene?

Unternehmen müssen innerhalb eines Monats alle PBD über die natürliche Person detailliert vorlegen oder auch löschen können. Ebenso sind Unternehmen und Einrichtungen verpflichtet, direkte Einwilligungen zur Speicherung anzufordern und über Interesse, Umfang, Dauer der Speicherung und mehr zu informieren; hierfür müssen Arztpraxen beispielsweise Flyer bereitlegen – Aushänge genügen nicht. (lsc)

Rubriklistenbild: © Andrea Warnecke/dpa-tmn

Das könnte Sie auch interessieren

Kommentare