Neue EU-Datenschutzverordnung

10. September 2016
David CHANTRAINE

Nach vier Jahren Vorbereitungszeit ist am 24. Mai 2016 die neue EU-Datenschutzverordnung in Kraft getreten. Diese Verordnung harmonisiert die bestehenden Datenschutzbestimmungen in Europa und tritt am 25. Mai 2018 in Kraft.

 

Neue EU-Datenschutzverordnung führt zu wichtigen Änderungen im Datenschutzrecht

10. September 2016

Uta BRÖCKERHOFF

Nach vier Jahren Vorbereitungszeit ist am 24. Mai 2016 die neue EU-Datenschutzverordnung in Kraft getreten. Diese Verordnung harmonisiert die bestehenden Datenschutzbestimmungen in Europa und tritt am 25. Mai 2018 in Kraft.

Neben dieser Harmonisierung des Schutzes der Grundrechte und der fundamentalen Freiheiten natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten verfolgt diese Verordnung das Ziel, den Bürgern mehr Kontrolle über die Nutzung ihrer persönlichen Daten zu geben.

Die Verordnung hat zwar in großem Maße die Grundsätze aus der heutigen Richtlinie 95/46/EG übernommen, beinhaltet aber auch wesentliche Neuerungen, die wir Ihnen  nachfolgend kurz vorstellen möchten.

1. Anwendungsbereich

Der räumliche Anwendungsbereich der Verordnung ist wesentlich erweitert worden. Hiernach findet die Verordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt. Ob die Verarbeitung der Daten an sich in der EU stattfindet oder nicht, ist dabei unerheblich.

2. Anstellung eines Data protection officers

Für bestimmte Betriebe besteht nach der Verordnung eine Pflicht, einen data protection officer anzustellen, u.a.:

• Die Verarbeitung der Daten findet durch eine Behörde oder durch eine öffentliche Stelle statt (vorbehaltlich z.B. Gerichte mit Blick auf die Erfüllung der richterlichen Aufgaben);

• Der Auftragsverarbeiter oder der Verantwortliche ist hauptsächlich mit der Verarbeitung von Daten betraut, die angesichts ihrer Art , ihres Umfangs und /oder ihrer Zielsetzungen
   regelmäßige und systematische Beobachtung erfordern;

• Der Auftragsverarbeiter oder der Verantwortliche ist hauptsächlich mit der Verarbeitung von Daten in großem Stil betraut, bei der es besondere  Kategorien von Daten geht (z.B. Daten,   
   woraus sich Rasse, politische Ansichten oder religiöse Überzeugungen ableiten lassen ) sowie Personendaten, die sich auf strafrechtliche Verurteilungen sowie strafbare Handlungen beziehen.

Betriebe, die andere als die vorgenannten Tätigkeiten ausüben, können einen data protection officer anstellen, ohne  hierzu verpflichtet zu sein.

Dieser  Officer ist für die Einhaltung der Datenschutzbestimmungen verantwortlich. Innerhalb einer Konzernstruktur muss nur ein data protection officer benannt werden. Die Kontaktdaten des Officers müssen der zuständigen Stelle, in Belgien der Datenschutz Kommission, mitgeteilt werden.

3. Strengere Regelungen bezüglich der Zustimmung zur Datenverarbeitung

Die Verarbeitung von Daten ist u.a. rechtmäßig, wenn der  Betroffene seine Zustimmung hierzu gibt. Folgende  Anforderungen sind an eine solche Zustimmung zu stellen:
• Bei der Einwilligungserklärung muss es sich um eine freiwillige Entscheidung des Betroffenen handeln;
• Der Betroffene muss vor Abgabe der Einwilligungserklärung ausführlich, erkennbar und über bestimmte Informationen aufgeklärt worden sein;
• Die Einwilligungserklärung muss grundsätzlich schriftlich abgegeben werden;
• Es muss gewährleistet sein, dass die Einwilligungserklärung jederzeit widerrufen werden kann.

4. Sanktionen

Eine wesentliche Änderung liegt auch darin, dass nunmehr strengere Sanktionen im Falle der Verletzung von Datenschutzbestimmungen vorgesehen wurden.
 
Konkret bedeutet dies, dass im Falle von Verstößen administrative Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes, wenn diese Zahlen höher sind, auferlegt werden können. Allerdings werden auch viele Möglichkeiten vorgesehen, die Höhe der Buße – abhängig von den konkreten Umständen – zu reduzieren.

5. Ausblick – Handlungsbedarf für Unternehmen

Insofern die Verordnung erst ab dem 25. Mai 2018 in Kraft tritt, haben Unternehmen noch Zeit, sich auf die neuen Regelungen vorzubereiten. Ggfs. wird der belgische Gesetzgeber noch einige Aspekte zu der Verordnung ergänzen bzw. konkretisieren, was derzeit noch abzuwarten bleibt.

Unbestritten ist allerdings bereits jetzt, dass diese neue Datenschutz-Verordnung große Auswirkungen auf Unternehmen, vor allem auf die Beziehung zwischen Arbeitgeber und Arbeitnehmer, haben wird. Ein Unternehmen muss die entsprechenden Reglungen zur Verarbeitung von Personendaten seiner Arbeitnehmer, z.B. Adressen, Gehaltsberechnungen und Evaluierungen respektieren.

Da das Thema Datenschutz hiermit eine höhere Bedeutung erhält, vor allem auch angesichts der Schwere der angedrohten Sanktionen ist es für Unternehmen unbedingt ratsam, bis zum Inkrafttreten der Verordnung:

• eine Risikoanalyse durchzuführen, um zu überprüfen, welche Daten überhaupt verarbeitet werden und wie hoch das Risiko ist, dass Datenschutzbestimmungen verletzt werden.
• Maßnahmen zu ergreifen, um den erforderlichen Datenschutz zu gewährleisten (darunter fallen auch Schulungen für Mitarbeiter, um diese auf die Risiken hinzuweisen);
• alle Handlungen, die unternommen werden, zu dokumentieren.

 

KONTAKTIEREN SIE UNS

 

Adresse

Friedensstraße 10
4700 Eupen
Belgien

Öffnungszeiten

Montag - Donnerstag:
09.00 Uhr - 12.30 Uhr und 14.00 - 17.00 Uhr
Freitag:
09.00 Uhr - 12.30 Uhr und 14.00 - 16.00 Uhr

Kontakt

T: +32 (0)87/78 59 89
F: +32 (0)87/78 50 79

Mail

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!