Am 6.4.2016 einigte sich die EU auf eine umfassende Reform ihres Datenschutz-Rechtsrahmens und verabschiedete das Datenschutz-Reformpaket. Es enthält die Datenschutz-Grundverordnung (DSGVO), mit der die Datenschutz-Richtlinie ersetzt wird. Die neuen EU-weiten Datenschutzbestimmungen sind ab 25.5.2018 anzuwenden.
Die EU-Verordnung regelt die Verarbeitung von personenbezogenen Daten – natürlicher Personen – durch natürliche Personen, Unternehmen oder Organisationen in der EU. Sie gilt nicht für die Verarbeitung personenbezogener Daten von verstorbenen oder juristischen Personen. Gemeinsam mit den bereits bestehenden Vorschriften für personenbezogene Daten ermöglichen die neuen Maßnahmen die Speicherung und Verarbeitung nicht personenbezogener Daten in der gesamten Union.
Das Regelwerk soll Rechtssicherheit für Unternehmen und ein EU-weit einheitliches Datenschutzniveau für alle Bürger gewährleisten. Dazu gibt es einheitliche Regeln für alle Unternehmen, die in der EU Dienstleistungen anbieten, selbst wenn sie außerhalb der EU ansässig sind. Demgegenüber werden die Rechte auf Information, Auskunft und auf Vergessenwerden für die Bürger gestärkt.
Das neue Regelwerk umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Die EU-Kommission gibt hierfür folgende Beispiele:
- Personalverwaltung und Lohnbuchhaltung;
- Zugang zu bzw. Nutzung einer Kontaktdatenbank, die personenbezogene Daten enthält;
- Versand von Werbe-E-Mails;
- Vernichtung von Akten, die personenbezogene Daten enthalten;
- Veröffentlichung/Einstellung eines Fotos einer Person auf einer Website;
- Speicherung von IP- oder MAC-Adressen;
- Videoaufzeichnung (Videoüberwachung).
Wird der Schutz personenbezogener Daten in einem Unternehmen verletzt, muss das Unternehmen die Datenschutzbehörden innerhalb von 72 Stunden über den Vorfall informieren.
Bitte beachten Sie: Alle Datenschutzbehörden werden befugt, Geldbußen von bis zu 20 Mio. € oder, im Fall von Unternehmen, von 4 % des weltweit erzielten Jahresumsatzes zu verhängen. Betroffene Unternehmen sind also gut beraten, sich mit der neuen DSGVO zu befassen und sie in ihrem Unternehmen – spätestens bis zum 25.5.2018 – umzusetzen. Weitere Informationen erhalten Sie hier: http://ec.europa.eu/justice/smedataprotect/index_de.htm.