06.04.2018 by Jutta Comments are off

Die DSGVO ist die größte Veränderung des Datenschutzrechts seit 30 Jahren. Da es bisher in den EU-Mitgliedsstaaten kein einheitliches Datenschutzrecht gab, wurde die EU-Datenschutzgrundverordnung ins Leben gerufen und vom Europäischen Parlament und Rat angenommen. Diese Verordnung möchte das europäische Datenschutzrecht, das bislang aus 28 verschiedenen nationalen Gesetzen bestand, nun vereinheitlichen. Weitere Ziele dieser neuen Verordnung sind die Modernisierung des Datenschutzes und die Verbesserung des Grundrechtsschutzes. Die DSGVO ist ein umfangreiches Werk, das aus elf Kapiteln mit 99 Artikeln besteht. Von den 99 Artikeln enthalten 51 Vorschriften materielles Datenschutzrecht, die übrigen 48 Artikel regeln eher formelle aufsichtsrechtliche und zuständigkeitsrechtliche Aspekte.

Wen betrifft die DSGVO?

Die neue EU-DSGVO betrifft alle Unternehmen, Agenturen und Organisationen, die in der EU ihren Firmensitz haben. Dabei spielen die Branche, betriebliche Größe oder die behördliche Zuordnung für den Gesetzgeber keine Rolle. Nach Art. 3 Abs. 2 DSGVO sind auch Unternehmen aus sogenannten „Drittstaaten“ betroffen, die in der EU keine Niederlassung haben, aber trotzdem Waren- und Dienstleistungen EU-Bürgern anbieten und deren Daten verarbeiten, z. B. US-Anbieter wie Google oder Facebook (Marktortprinzip). In den jeweiligen Unternehmen, Agenturen und Organisationen sind alle Abteilungen betroffen, die mit personenbezogenen Daten (LINK zum Artikel Datenschutz: Was sind personenbezogene Daten?) umgehen. Dazu gehören in der Regel die IT-Abteilung, das Marketing, der Vertrieb, die Rechts- und Personalabteilung.

Welche neuen Anforderungen gibt es für Agenturen und Unternehmen?

Gerade die Promotion- und Eventbranche verarbeitet eine große Menge an personenbezogenen Daten (Link zum Artikel Datenschutz: Was sind personenbezogene Daten?). Denn hier werden Promotionaktionen, Messen und Events geplant, zu denen Promoterdaten verarbeitet oder auch Kunden- und Lieferantendaten gespeichert werden.

• Die Anforderungen an die freiwillige Einwilligung zur Datenverarbeitung wurden erhöht: Die DSGVO stellt hohe Anforderungen an die Einwilligung zur Verarbeitung der personenbezogenen Daten. Die Erteilung der Einwilligung muss freiwillig geschehen und durch eine eindeutige Handlung, wie z. B. das Anklicken eines Kästchens auf einer Webseite. Agenturen und Unternehmen müssen für die Verarbeitung von Daten (Teilnehmerlisten, Personaldaten, Lieferantendaten, etc.) eine gesetzliche Erlaubnis vorliegen haben, ansonsten dürfen die Daten nicht verarbeitet werden. Das heißt, dass es grundsätzlich immer verboten ist, personenbezogene Daten zu verarbeiten, sofern nicht ausdrücklich eine Einwilligung vorliegt. Hier spricht man auch von einem Verbot mit Erlaubnisvorbehalt. Dies gilt auch für Datensätze, die der Kunde der Agentur oder dem Unternehmen zur Verfügung stellt. Es sollte schriftlich abgesichert werden, dass die Daten verarbeitet werden dürfen (vgl. Art. 7 DSGVO).

• Datenschutz muss dokumentiert werden: Die neue DSGVO ordnet zahlreiche Dokumentationspflichten an. So muss z. B. ein Verzeichnis von Verarbeitungstätigkeiten geführt werden (Art. 30 DSGVO). Dieses Verzeichnis ist nach Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Mehr zum Verarbeitungsverzeichnis lesen Sie in einem gesonderten Artikel auf unserem PromoBlog.

• Es muss eine Datenschutzfolgenabschätzung gemacht werden: Nach Art. 35 DSGVO ist für besonders risikobehaftete Datenverarbeitungen, d. h. hohe Risiken für die Rechte und Freiheiten natürlicher Personen, eine Durchführung einer Datenschutzfolgenabschätzung vorgeschrieben. Dafür entfällt nach dem Bundesdatenschutz die Pflicht zur Meldung der Verfahren bei der Aufsichtsbehörde (Vorabkontrolle gem. §4d Abs. 5 BDSG).

• Privacy by design und privacy by default: In der DSGVO kommen die Grundsätze privacy by design und privacy by default hinzu. Ersteres heißt übersetzt Datenschutz durch Technikgestaltung und bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung, also von der Konzeption bis zur Überwachung bzw. Verarbeitung, einbezogen werden sollen. Auf diese Weise soll eine Datenschutzverletzung vorgebeugt werden. Mit privacy by default sind die datenschutzfreundlichen Voreinstellungen von Systemen, Geräten und Webdiensten gemeint. Diese sollten im Vorfeld datenschutzrechtlich eingestellt sein und nicht erst manuell eingestellt werden müssen.

• Die Meldepflicht wurde ausgeweitet: Bislang war eine Agentur oder ein Unternehmen nach §42a BDSG zur Meldung von Datenschutzverstößen nur verpflichtet, wenn besonders sensible Daten betroffen waren. Laut Art. 33 DSGVO muss eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie voraussichtlich zu einem hohen Risiko führt.

Die EU-DSGVO beschreibt somit ein vollständig neues Datenschutzrecht, das jedoch den bisherigen Regelungen des Bundesdatenschutzgesetzes ähnelt. Trotz dieser Ähnlichkeiten müssen Agenturen und Unternehmen ihre Maßnahmen zur Pflichterfüllung der neuen Verordnung überprüfen und gegebenenfalls neu aufbauen. Im zweiten Teil dieses Artikels beschäftigen wir uns näher mit den Betroffenenrechte, der Bedeutung der neuen Anforderungen der EU-DSGVO für Agenturen und Unternehmen der Promotion- und Eventbranche und den Folgen bei nicht Einhaltung der Verordnung.