Die DSGVO wurde im April 2016 vom EU-Parlament gebilligt und verabschiedet. Die Verordnung tritt nach einer zweijährigen Übergangsfrist in Kraft und erfordert im Gegensatz zu einer Richtlinie keine Ermächtigungsgesetzgebung durch die Regierung, d.h. sie wird im Mai 2018 in Kraft treten.
Angesichts einer ungewissen “Brexit” – ich vertrete einen Datenverantwortlichen in Großbritannien und möchte wissen, ob ich mit der Planung und Vorbereitung von DSGVO weitermachen soll?
Wenn Sie Daten über Personen im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen an Bürger in anderen EU-Ländern verarbeiten, müssen Sie sich an die DSGVO halten, unabhängig davon, ob Sie im Vereinigten Königreich die DSGVO nach Brexit behalten oder nicht. Wenn Ihre Aktivitäten auf das Vereinigte Königreich beschränkt sind, dann ist die Position (nach der ersten Ausstiegsphase) viel weniger klar. Die britische Regierung hat angekündigt, dass sie einen gleichwertigen oder alternativen Rechtsmechanismus einführen wird. Wir gehen davon aus, dass diese Rechtsvorschriften weitgehend dem DSGVO entsprechen werden, da die ICO und die britische Regierung den DSGVO als wirksamen Datenschutzstandard unterstützt haben und die DSGVO eine klare Grundlage für den weiteren Zugang der britischen Unternehmen zum EU-Digitalmarkt bietet. (Ref: http://www.lexology.com/library/detail.aspx?g=07a6d19f-19ae-4648-9f69-44ea289726a0)
Wer ist von der DSGVO betroffen?
Die DSGVO gilt nicht nur für Organisationen mit Sitz in der EU, sondern auch für Organisationen mit Sitz außerhalb der EU, wenn sie Waren oder Dienstleistungen für EU-Datensubjekte anbieten oder deren Verhalten überwachen. Sie gilt für alle Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten und aufbewahren, unabhängig vom Standort des Unternehmens.
Was sind die Strafen bei Nichteinhaltung?
Organisationen können bis zu 4 % des weltweiten Jahresumsatzes wegen Verletzung des BIPR oder 20 Mio. EUR bestraft werden. Dies ist die Höchststrafe, die für die schwerwiegendsten Verstöße verhängt werden kann, z.B. wenn der Kunde keine ausreichende Einwilligung zur Datenverarbeitung hat oder der Kern des Privacy by Design-Konzepts verletzt wird. Es gibt einen abgestuften Ansatz für Geldbußen, z.B. kann ein Unternehmen mit einer Geldbuße von 2% belegt werden, wenn es seine Unterlagen nicht in Ordnung hat (Artikel 28), wenn es die Aufsichtsbehörde und die betroffene Person nicht über einen Verstoß informiert oder keine Folgenabschätzung durchführt. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Prozessoren gelten – was bedeutet, dass “Wolken” nicht von der Durchsetzung des DSGVO ausgenommen sind.
Was sind personenbezogene Daten?
Die DSGVO gilt für “personenbezogene Daten”, d.h. alle Informationen über eine identifizierbare Person, die direkt oder indirekt, insbesondere durch Bezugnahme auf einen Identifikator, identifiziert werden können. Diese aktuelle Liste oder Definition sieht vor, dass eine breite Palette von personenbezogenen Daten, einschließlich Name, Identifikationsnummer, Standortdaten oder Online-Identifikator, die Veränderungen in der Technologie und der Art und Weise, wie Organisationen Informationen über Personen sammeln, widerspiegeln.
Was ist der Unterschied zwischen einem Datenprozessor und einem Datenverantwortlichen?
Ein für die Verarbeitung Verantwortlicher ist die Stelle, die die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten festlegt, während der für die Verarbeitung Verantwortliche eine Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Brauchen Datenverarbeiter eine “ausdrückliche” oder “eindeutige” Einwilligung des Betroffenen – und was ist der Unterschied?
Die Bedingungen für die Einwilligung wurden verschärft, da die Unternehmen nicht mehr in der Lage sein werden, lange unleserliche Bedingungen voller Rechtssprache zu verwenden, da der Antrag auf Einwilligung in verständlicher und leicht zugänglicher Form gestellt werden muss, wobei der Zweck der Datenverarbeitung mit dieser Einwilligung verbunden sein muss – das heißt, er muss eindeutig sein. Die Einwilligung muss klar und deutlich von anderen Dingen unterscheidbar sein und in einer verständlichen und leicht zugänglichen Form unter Verwendung einer klaren und klaren Sprache erteilt werden. Eine ausdrückliche Einwilligung ist nur für die Verarbeitung sensibler personenbezogener Daten erforderlich – in diesem Zusammenhang genügt ein “opt in”. Hier finden Sie mehr Informationen. Bei nicht sensiblen Daten genügt jedoch eine “eindeutige” Einwilligung.
Wie steht es mit den Datensubjekten unter 16 Jahren?
Für die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren für Online-Dienste ist die Zustimmung der Eltern erforderlich; die Mitgliedstaaten können ein niedrigeres Einwilligungsalter vorschreiben, das jedoch nicht unter 13 Jahren liegt.
Was ist der Unterschied zwischen einer Verordnung und einer Richtlinie?
Eine Verordnung ist ein verbindlicher Rechtsakt. Sie muss in ihrer Gesamtheit in der gesamten EU angewendet werden, während eine Richtlinie ein Rechtsakt ist, der ein Ziel festlegt, das alle EU-Länder erreichen müssen. Es ist jedoch Sache der einzelnen Länder zu entscheiden, wie. Es ist wichtig zu beachten, dass es sich bei der DSGVO um eine Verordnung handelt, im Gegensatz zur bisherigen Gesetzgebung, die eine Richtlinie ist.
Muss mein Unternehmen einen Datenschutzbeauftragten (DSB) ernennen?
DPOs müssen im Falle von: (a) Behörden, (b) Organisationen, die in großem Umfang systematische Überwachung betreiben, oder (c) Organisationen, die in großem Umfang Prozesse durchführen.