Die neue Europäische Datenschutzverordnung 2016/679

Die neue Europäische Datenschutzverordnung2016/679 (GDRP) ist am 24. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 für sämtliche Mitgliedstaaten verbindlich sein.

Mit Verabschiedung der Verordnung beabsichtigt die EU die Vereinheitlichung der in den einzelnen Mitgliedstaaten geltenden Datenschutzregeln, um so einen höheren und genaueren Schutz der Gemeinschaftsbürger und deren persönlicher Daten zu erzielen.

Mit der Verordnung werden wichtige Neuerungen eingeführt, die die zuvor in Italien geltende Rechtslage teils auch in erheblicher Weise umgestalten (Gesetzesverordnung 196/2003), indem den Unternehmen und öffentlichen Körperschaften die Überarbeitung der eigenen internen Datenschutzrichtlinien auferlegt wird, sowohl in Bezug auf die eigenen Mitarbeiter als auch hinsichtlich der einzelnen Nutzer/Betroffenen.

Unter den genannten Neuerungen befindet sich auch die deutliche Verschärfung der etwaigen Sanktionen, so dass sämtlichen betroffenen Unternehmen nicht zuletzt auch aus diesem Grund eine angemessene und effektive Einhaltung der Vorschriften stark anzuraten ist. Einige große Internetunternehmen haben sich der Thematik bereits angenommen und erklärt, dass sie im Jahre 2018 für die neuen Regeln bereit sein werden.

Schließlich wird die Einhaltung der Vorschriften zum Datenschutz auch eine Voraussetzung dafür sein, Geschäftsbeziehungen mit der öffentlichen Verwaltung sowie grossen multinationalen Unternehmen eingehen zu können sowie um auf dem Markt der Kommunikationen, des Marketing, des E-Commerce sowie allgemein in sämtlichen Bereichen der New Economy tätig sein zu können.

Die wichtigsten Neuerungen können wie folgt zusammen gefasst werden:

DIE GRUNDLEGENDEN PRINZIPIEN DER NEUEN VERORDNUNG

Das Prinzip des Datenschutzes by design betrifft die Anwendung des Datenschutzes beginnend mit dem Zeitpunkt der Planung der Unternehmensabläufe und der entsprechenden Softwareanwendungen. Mit dem Prinzip des Datenschutzes by default, wurde hingegen festgelegt, dass die Unternehmen persönliche Daten nur insoweit verarbeiten dürfen als dies für die mit der Verarbeitung verfolgten Zwecke erforderlich ist und auch nur für den erforderlichen Zeitraum, wobei sie bereits mit der Erstellung des Datenverarbeitungssystems sicher zu stellen haben, dass es nicht zu einer über ds erforderliche Maß hinaus gehenden Datensammlung kommt. Weiterhin wurde das Prinzip der Accountability (Uebernahme von Verantwortung) eingeführt, demzufolge diejenigen Personen, die Datenverarbeitung betreiben, entsprechende Aufzeichnungen über sämtliche Verarbeitungen zu erstellen und aufzubewahren haben; anderenfalls drohen teils auch empfindliche Sanktionen unabhängig davon, welche konkrete Verwendung die Daten gefunden haben.

INHALT DER INFORMATIONSSCHRIFT

Es wird die ausdrückliche Pflicht zur Verwendung einer einfachen und transparenten Sprache eingeführt, wobei den betroffenen Personen die Daten des Inhabers und des Verantwortlichen sowie auch des Datenschutzbeauftragen (wenn vorhanden) sowie die Gründe für und die Dauer der Datenverarbeitung mitzuteilen sind;

DIE RECHTE DER BETROFFENEN

Die von der Datenverarbeitung betroffenen Personen sind über ihre Rechte aufzuklären, d.h. insbesondere: das zunächst durch die Rechtsprechung entwickelte und nun gesetzlich nieder gelegte Recht “in Vergessenheit zu geraten” und die Löschung der sich auf die eigene Person beziehenden Daten zu verlangen; das Recht auf Mitnahme der eigenen Daten; das Recht automatisierten Entscheidungsprozessen zu widersprechen, welche mithin den betroffenen Personen offen zu legen sind;

ZUSTIMMUNG

Vor der Verarbeitung der persönlichen Daten einer Person hat diese die ausdrückliche und unmissverständliche Zustimmung zur Verarbeitung der eigenen Daten zu geben; die Zustimmung kann nicht konkludent erfolgen.

REGISTER DER DATENVERARBEITUNG

Zur Ersetzung der vormals bestehenden Pflicht zur Vorabmitteilung der Datenverarbeitungsvorgänge an den nationalen Datenschutzbeauftragten, haben der Inhaber des Rechts zur Datenverarbeitung und die entsprechenden Vertreter ein entsprechendes Register zur Erfassung der Datenverarbeitungsvorgänge zu führen, in dem sämtliche Aspekte hinsichtlich der Datenverarbeitung aufzuführen sind.

DATENLECKS

Die etwaigen Verletzungen der Daten sind unverzüglich der staatlichen Datenschutzbehörde bzw. dem/den Betroffenen mitzuteilen.

BEWERTUNG DER AUSWIRKUNGEN

Soweit eine Datenverarbeitung ein erhöhtes Risiko für die Rechte und Freiheiten der Personen nach sich ziehen sollte, ist es erforderlich eine präventive Bewertung der Auswirkungen einer solchen Verarbeitung auf den Schutz der persönlichen Daten vorzunehmen.

SENSIBLE DATEN

Besondere Vorsichtsmaßnahmen sind bei der Verarbeitung sog. sensible Daten anzuwenden, d.h. bezüglich religiöser und politischer Überzeugungen, Mitgliedschaft in politischen Parteien oder Gewerkschaften, hinsichtlich der Gesundheit, der sexuellen Orientierung etc..

ERNENNUNG EINES DATENSCHUTZBEAUFTRAGTEN (DPO)

Die Pflicht zur Ernennung eines Datenschutzbeauftragten, der als Verbindungsglied zwischen der staatlichen Behörde und den Privatpersonen mit beratenden und Aufsichtsfunktionen fungiert ist für folgende Rechtssubjekte, die Datenverarbeitung vornehmen, vorgesehen:

  • Die öffentliche Verwaltung und allgemein sonstige Körperschaften des öffentlichen Rechts;
  • Diejenigen Unternehmen, deren vorrangige Geschäftstätigkeit nach Natur, Zweck und Gegenstand eine Art der Datenverarbeitung beinhaltet, die eine regelmäßige und systematische Kontrolle der Betroffenen nach sich zieht;
  • Diejenigen Unternehme, deren vorrangige Tätigkeit in der flächendeckenden Verarbeitung sensibler Daten besteht.

Die vorgenannten Kategorien haben zwingende einen Datenschutzbeauftragten zu ernennen, während dies in den sonstigen Fällen freiwillig ist.

Angesichts der vorstehend beschriebenen wichtigen Neuerungen ist es mithin erforderlich den derzeit verwendeten Text der Informationsschrift entsprechend der Vorgaben der Verordnung anzupassen sowie allgemein die im Unternehmen geltenden Datenschutzrichtlinien einer allgemeinen Kontrolle auf Vereinbarkeit mit der Verordnung zu unterziehen.