zuletzt aktualisiert vor

EU-Datenschutzgrundverordnung Ab dem 25.Mai: Auch Vereine und Verbände müssen aufpassen

Meine Nachrichten

Um das Thema Gut zu wissen Ihren Nachrichten hinzuzufügen, müssen Sie sich anmelden oder registrieren.

In Arztpraxen wird mit besonders sensiblen Daten gearbeitet. Foto: imago/Jochen TackIn Arztpraxen wird mit besonders sensiblen Daten gearbeitet. Foto: imago/Jochen Tack

Osnabrück. Die EU-Datenschutz-Grundverordnung (DSGVO) verlangt mehr Aufwand für den Schutz personenbezogener Daten. Vor allem für Unternehmen können Verstöße sehr teuer werden. Aber auch Vereine und Verbände müssen aufpassen.

Geltungsbereich: Die Verordnung gilt nicht nur für Großkonzerne wie Facebook und Google, sondern auch für kleine Handwerksbetriebe und Selbstständige. Betroffen sind eigentlich alle, die automatisiert personenbezogene Daten verarbeiten. Dazu gehören dann selbstverständlich auch Vereine und Verbände. Denn allein mit jeder Anmeldung eines Mitglieds fallen personenbezogene Daten an. Ausgenommen sind nur Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden.

Sanktionen:Die möglichen Geldbußen für Verstöße wurden drastisch erhöht: Ein Unternehmen muss bis zu vier Prozent des weltweiten Umsatzes bei einem erheblichen Verstoß gegen das DSGVO zahlen. Geringere Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren.

Grundprinzipien: Die neue Verordnung setzt beim Datenschutz sehr früh an. Das „Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen. „Privacy by Default“ heißt, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig mit der höchsten Datenschutzstufe ausgestattet sein müssen.

Zweckbindung: Es gilt das Gebot der Zweckbindung . Es soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“.

Risikoanalyse und Folgenabschätzung: Vor der Verarbeitung bestimmter Daten müssen die Risiken für die Privatsphäre der betroffenen Personen analysiert werden. Wer mit besonders sensiblen Daten arbeitet – etwa Arztpraxen oder Versicherungsmakler –, muss besonders umsichtig handeln und unter Umständen eine sogenannte Datenschutz-Folgeabschätzung durchführen.

Meldepflicht: Nach der neuen Verordnung müssen unabhängig von der Art der Daten alle Datenschutz-Pannen gemeldet werden, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen, sofern der Vorfall „voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten“ zur Folge hat.

Datenschutzbeauftragter: Unter bestimmten Voraussetzungen muss ein Datenschutzbeauftragter benannt werden. Das ist der Fall, wenn personenbezogene Daten automatisiert verarbeitet werden also per EDV.Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung solcher Daten beschäftigt, entfällt diese Verpflichtung.

Verzeichnis: Das  „öffentliche Verzeichnis von Verarbeitungstätigkeiten“ entfällt. An seine Stelle soll das sogenannte „Verzeichnis von Verarbeitungstätigkeiten“ treten.


Weitere Angebote, Produkte und Unternehmen der noz MEDIEN