Bald wird´s teuer: So setzen Sie die EU-DSGVO rechtzeitig um

| Autor / Redakteur: Dr. Bettina Enderle * / Margit Kuther

EU-DSGVO: Ab 25. Mai gilt die EU-Datenschutz-Grundverordnung mit weitreichenden Folgen für Unternehmen
EU-DSGVO: Ab 25. Mai gilt die EU-Datenschutz-Grundverordnung mit weitreichenden Folgen für Unternehmen (Bild: Pixabay / CC0)

Ab 25. Mai gilt die EU-Datenschutz-Grundverordnung (DSGVO) und ein neues Bundesdatenschutzgesetz (BDSG). Ein Jurist informiert über Mehraufwand und Sanktionen, mit denen Unternehmen rechnen müssen.

Die Regelungen der DSGVO gehen deutlich über die bisherigen Anforderungen an den Datenschutz hinaus. Zudem konkretisiert und ergänzt ein neues Bundesdatenschutzgesetz (BDSG) diese Regelungen. Unternehmen müssen sich auf erheblichen Mehraufwand für die Umsetzung der Vorgaben einstellen. Zudem werden die möglichen Sanktionen erheblich ausgeweitet. Details dazu erläutert Dr. Bettina Enderle von der Kanzlei für Umwelt- und Planungsrecht im Auftrag des Fachverbands Bauelemente Distribution (FBDi).

Neuerungen für die Elektro- und Elektronikindustrie

Es gibt zahlreiche neue Anforderungen in der DSGVO, ein Teil betrifft alle Unternehmen, die personenbezogene Daten (etwa der eigenen Arbeitnehmer) verarbeiten. Für Unternehmen der Elektro- und Elektronikindustrie sind insbesondere die Neuregelungen zur Produktentwicklung und der Sicherheit der Datenverarbeitung von Bedeutung.

Im Detail sind dies: Transparenzvorschriften und Informationspflichten: Ein wesentlicher Grundsatz der DSGVO ist die Transparenz der Datenverarbeitung für den Betroffenen. Darum sieht sie umfangreiche Informationspflichten des Verantwortlichen vor (Art. 12, 13, 14 und 15 DSGVO). Dabei sind bei personenbezogenen Daten mehr Informationen zu kommunizieren als bisher, etwa zur Speicherdauer der Daten. Dokumentations- und Nachweispflichten: Das Unternehmen muss die Einhaltung der Datenschutzgrundsätze nachweisen können (sog. Rechenschaftspflicht bzw. Accountability, Art. 5 DSGVO). Zudem sind geeignete technische und organisatorische Maßnahmen zu ergreifen, die eine Verarbeitung nach den Vorgaben der DSGVO sicherstellen (Art. 24 (1) DSGVO).

Privacy by Design und by Default

Weiter sollen die Grundsätze des Datenschutzes bereits bei der Entwicklung von Produkten, Diensten, Anwendungen und technischen Prozessen, die personenbezogene Daten sammeln und verarbeiten, berücksichtigt werden – so genannter „Datenschutz durch Technik“ beziehungsweise „Privacy by Design“ (entsprechend dem Ökodesign für die Berücksichtigung von Umwelt- und Energieeffizienzbelangen bei der Entwicklung und dem Design energieverbrauchsrelevanter Produkte).

Art. 25 DSGVO: Verpflichtungen bei personenbezogenen Daten

Die Verpflichtungen des Art. 25 DSGVO richten sich an den Verantwortlichen, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, in der Regel also die Unternehmen. Aber auch die Hersteller von Produkten, Diensten und Anwendungen sind – mittelbar – von der Pflicht zum Datenschutz durch Technikgestaltung, durch die Nachfrage nach datenschutzrechtlich zulässigen Produkten und entsprechende vertragliche Verpflichtungen betroffen.

Hersteller von Hard- und Software sollen bereits von vornherein den Datenschutz als Prinzip in der Produktentwicklung berücksichtigen und durch entsprechende technische Implementierung sicherstellen, dass:

  • nur bestimmte Daten erhoben werden, und die nachträgliche Zusammenführung von Daten erschwert wird (Datentrennung), z.B. durch Aufteilung auf verschiedene Datenbanken,
  • diese schnellstmöglich pseudonymisiert und verschlüsselt,
  • nur in für den jeweiligen Zweck erforderlichen Umfang verarbeitet (Datenminimierung) und
  • nach Ablauf der Speicherfrist gelöscht werden (sichergestellt über ein entsprechendes Verfahren für die fristgerechte Löschung), und
  • nur bestimmte Personen Zugriff auf die Daten haben, z.B. über ein Verfahren der Zugangskontrolle und Protokollierung.

Nach dem Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by Default) müssen IT-Systeme und Anwendungen so voreingestellt sein, dass sie nur die personenbezogenen Daten verarbeiten, die für den verfolgten Zweck erforderlich sind (Art. 25 (2) DSGVO). Für den Hersteller bedeutet dies, dass seine Produkte bereits datenschutzfreundliche Einstellungen haben sollten und dies nachvollziehbar dokumentiert ist.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45080720 / Recht)