Am 25.05.2018 tritt in den Mitgliedstaaten der Europäischen Union (nachfolgend nur „EU“) neue Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (nachfolgend nur „Datenschutzverordnung“) in Kraft, durch die die bisherige rechtliche Regelung ersetzt und unifiziert wird. Die gegenwärtige rechtliche Regelung zum Schutz personenbezogener Daten, der die Richtlinie des Europäischen Parlaments und des Rates 95/46/EG vom 24. Oktober 1995 zugrunde gelegt wurde, wurde nämlich nicht gleich in allen EU-Ländern implementiert und nach mehr als zwanzig Jahren entspricht sie nicht einmal den gegenwärtigen Erfordernissen der Gesellschaft. Unten finden Sie die Übersicht der wichtigsten Änderungen, die die Verordnung mit sich bringt.

Anwendungsbereich

Gegenüber der gegenwärtigen Regelung hat die Datenschutzverordnung einen breiteren räumlichen Anwendungsbereich, und findet nicht nur auf die Verantwortlichen und Auftragsverarbeiter, die die personenbezogenen Daten im Rahmen ihrer Tätigkeit innerhalb der EU verarbeiten, sondern unter gewissen Umständen auch auf diejenigen Verantwortlichen und Auftragsverarbeiter, die in der EU zwar nicht niedergelassen sind, aber die personenbezogenen Daten von Personen verarbeiten, die sich in der EU befinden, Anwendung.

Recht auf Vergessenwerden

Im Falle der Erfüllung der gesetzlichen Bedingungen (z.B. personenbezogene Daten werden hinsichtlich des Verarbeitungszwecks nicht mehr benötigt, die berechtigte Person widerruft ihre Einwilligung oder die personenbezogenen werden gesetzwidrig verarbeitet) ist der Verantwortliche verpflichtet, auf Antrag der betroffenen Person ihre personenbezogenen Daten unverzüglich zu löschen.

Datenschutzbeauftragter

Behörden, öffentlichen Stellen und ausgewählten Verantwortlichen entsteht die Pflicht, die Person zu benennen, die für die Verarbeitung personenbezogener Daten verantwortlich sein wird.

Hinweis auf Verletzung des Schutzes personenbezogener Daten

Die Verantwortlichen und die Auftragsverarbeiter sind verpflichtet, die Aufsichtsbehörde unverzüglich (spätestens binnen 72 Stunden) darauf hinzuweisen, dass der Schutz personenbezogener Daten verletzt wurde. Hat die Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge, so haben der Verantwortliche und der Auftragsverarbeiter auch die betroffene Person von der Verletzung zu benachrichtigen.

Vereinfachung der Verwaltung

Die Datenschutzverordnung verzichtet auf die Registrierungs- und Meldepflichten und ersetzt sie durch die Pflicht, die Verzeichnisse über die Verarbeitungstätigkeiten zu führen. Diese Pflicht gilt allerdings nicht für Personen, die weniger als 250 Mitarbeiter beschäftigen, sofern die Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.

Verfahren der Zusammenarbeit und Kohärenz

Zu Zwecken der Prüfung der Einhaltung der Datenschutzverordnung hat jeder Mitgliedstaat eine unabhängige Aufsichtsbehörde zu errichten. Aufsichtsbehörden von allen Mitgliedstaaten werden der einheitlichen Anwendung der Datenschutzverordnung nachhelfen und werden gegenseitig kooperieren. Große Unternehmen mit Niederlassungen in mehreren EU-Ländern richten sich dabei nach dem Beschluss von nur einer Aufsichtsbehörde (meistens nach dem Sitz des Unternehmens), und daher werden die Beschlüsse für jede Niederlassung nicht durch eine andere Aufsichtsbehörde erlassen.