Steuern, Buchhaltung, Recht und mehr. Alle wichtigen Neuigkeiten für Ihr Unternehmen.
Wir haben die Frage der GDPR bereits im Artikel „Thema des Jahres 2018?“ behandelt. GDPR (http://www.fucik.cz/de/articles/ist-dies-das-thema-des-jahres-2018-gdpr/), in dem wir durch die Überschrift dieses Thema für das Thema des Jahres 2018 halten. Im Jahr 2018 wünschen wir Ihnen viel Glück auf Ihrem Weg zur Erreichung der Einhaltung der GDPR. Finden Sie dies zu kompliziert? Finden Sie, dass es hier nicht gibt, woran man sich halten kann? Sie sind da nicht alleine.
Die allgemeine Verordnung über den Schutz personenbezogener Daten bringt, neben den Verpflichtungen auch Instrumente, mittels deren Hilfe die Verpflichtungen erfüllt werden können. Viele von ihnen werden erst entstehen, es handelt sich z.B. um Verhaltenskodices, Erteilung von Bescheinigungen gemäß GDPR oder verbindliche unternehmensinterne Regeln. Bereits jetzt kann man sich an den Anweisungen und Anleitungen der sog. Arbeitsgruppe WP29 halten, die ein wichtiges Material für die Auslegung der allgemeinen Richtlinie darstellen und oft auch die sog. beste Vorgehensweise darstellen. Diese Dokumente werden laufend auf der Webseite des Amtes für den Schutz personenbezogener Daten veröffentlicht, das zurzeit die Rolle der Aufsichtsbehörde erfüllt und weiterhin erfüllen wird. Hier können Sie z. B. Anleitungen und Anweisungen zu den Themen der Beauftragten, des Rechts auf die Übertragbarkeit der Daten, zur Meldepflicht in Fällen der Verletzung, zur Einwilligung oder zur Geltendmachung und Bestimmung von Verwaltungsstrafen, finden.
Und auf welche Anforderungen sollten wir bei der Verarbeitung personenbezogener Daten vorbereitet sein, wenn wir gemäß der allgemeinen Verordnung handeln wollen? Der wichtigste Empfänger der in der allgemeinen Verordnung festgelegten Verpflichtungen ist der Verwalter, d.h. derjenige, der den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt. Der Verwalter kann mit der Verarbeitung personenbezogener Daten ein anderes Subjekt, den sog. Verarbeiter, beauftragen. Auch in diesem Fall gilt jedoch, dass derjenige, der für die Bearbeitung verantwortlich ist, der Verwalter ist. Gleichzeitig ist er auch für die Wahl eines geeigneten Verwalters verantwortlich. Daher ist es wichtig, dass er nur solche Verwalter nutzt, die ausreichende Garantien der Einführung von geeigneten Maßnahmen für die Erfüllung der Anforderungen der allgemeinen Verordnung bieten. Die gegenseitigen Beziehungen des Verwalters und des Verarbeiters werden durch einen schriftlichen Vertrag, in dem sich der Verarbeiter gegenüber dem Verwalter verpflichtet, geregelt. Dieser Vertrag sollte insbesondere die Dauer der Verarbeitung, den Charakter und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der Subjekte der Daten und die Rechte und Verpflichtungen jeder Vertragspartei enthalten. Die eventuelle Einbeziehung eines weiteren Verarbeiters wird nur nach der vorherigen Zustimmung des Verwalters und unter den gleichen Bedingungen, die zwischen dem Verwalter und dem Verarbeiter vereinbart wurden, möglich sein.
Die wichtigsten Träger der in der allgemeinen Verordnung verankerten Rechte sind die Subjekte der Daten, d.h. natürliche Personen, deren Daten verarbeitet werden. Zum Zeitpunkt der Gewinnung deren persönlicher Daten kommunizieren Sie mit ihnen als Verwalter in einer einfachen Form. Teilen Sie ihnen mit, wer Sie sind, welche Daten sie verarbeiten möchten, für welche Zwecke und auf der Grundlage von welchem Rechtsgrund, für wie lange Sie die Daten halten werden und wer sie bekommt. Informieren Sie sie über ihre Rechte (Recht auf Zugang zu personenbezogenen Daten, auf die Korrektur oder Löschung, über das Recht auf die Übertragbarkeit, über das Recht eine Beschwerde bei der Aufsichtsbehörde einzureichen, ...) und seien Sie auf die Geltendmachung dieser Rechte vorbereitet. Im Falle des Auftritts eines erheblichen Risikos im Zusammenhang mit der Verletzung der Datensicherheit, informieren Sie diejenigen, auf deren Daten es sich bezieht. Wenn Sie zur Verarbeitung personenbezogener Daten eine Einwilligung der Subjekte der Daten benötigen, müssen Sie beachten, dass diese Einwilligung freiwillig, nachweisbar, mit einem klar definierten Zweck der Bearbeitung werden soll und als ein selbstständiger Text definiert werden soll. Wenn die in der Vergangenheit eingeholten Einwilligungen diese Eigenschaften nicht besitzen, müssen neue und am besten vor dem Inkrafttreten der allgemeinen Verordnung eingeholt werden.
Neben dem oben erwähnten führt die allgemeine Verordnung auch einige neue Verpflichtungen ein, die auf der Grundlage des auf dem Risiko gegründeten Ansatzes angewandt werden. In der Rolle eines Verwalters und Verarbeiters müssen Sie in der Lage sein zu belegen, dass sie angesichts des Charakters, des Umfangs, des Kontexts, der Zwecke der Verarbeitung und der möglichen Risiken geeignete technische und organisatorische Maßnahmen zur Sicherstellung der Einhaltung der Anforderungen der allgemeinen Verordnung eingeführt haben. Sie müssen Aufzeichnungen über die Verarbeitungstätigkeiten führen, eine Ausnahme gibt es für Organisationen mit weniger als 250 Arbeitnehmern, wenn die von ihnen durchgeführte Verarbeitung kein Risiko für die Rechte und Freiheiten der Subjekte der Daten darstellt und wenn sie keine Sonderkategorien personenbezogener Daten verarbeiten. Wenn sie zu denjenigen gehören, denen diese Verpflichtung die allgemeine Verordnung auferlegt, müssen Sie einen Beauftragten für den Schutz personenbezogener Daten ernennen und seinen Namen und Kontaktdaten veröffentlichen. Im Falle der Wahrscheinlichkeit der Entstehung eines hohen Risikos angesichts der Rechte und Freiheiten von Personen in Bezug auf die Verarbeitung deren personenbezogener Daten, müssen Sie als Verwalter vor der Verarbeitung die Auswirkungen auf den Schutz personenbezogener Daten, einschließlich der bezüglichen Rücksprache mit der Aufsichtsbehörde durchführen. Sobald Sie eine Verletzung der Sicherheit personenbezogener Daten feststellen, die ein Risiko darstellen könnte, müssen Sie diese Tatsache unverzüglich (wenn möglich innerhalb von 72 Stunden) als Verwalter der Aufsichtsbehörde, in ihrer Rolle des Verarbeiters, anzeigen.
Es ist wichtig, bei der Umsetzung zu bedenken, dass die Bedingungen für die Verarbeitung personenbezogener Daten möglicherweise nicht nur durch die allgemeine Verordnung festgelegt werden, sondern auch durch andere Gesetze oder spezifische Rechtsvorschriften, die zusätzliche Bedingungen für die legale Möglichkeit der Verarbeitung personenbezogener Daten bestimmen können. Dies sind zum Beispiel das Bürgerliche Gesetzbuch, das Gesetz über das Zentrale Melderegister und das Register der Geburtsidentifikationsnummern, das Gesetz über das Archivwesen und den Archivdienst, im Lohn- und Gehaltsbereich sind es zum Beispiel das Arbeitsgesetzbuch, das Beschäftigungsgesetz, Gesetze, die die Kommunikation im Bereich der Sozial- und Krankenversicherung und der Steuern regeln. Diese Gesetze werden im Zusammenhang mit der Einführung der allgemeinen Verordnung nicht geändert. Im Bereich der elektronischen Kommunikation handelt es sich um das Gesetz über die elektronische Kommunikation und um das Gesetz über bestimmte Dienstleistungen der Informationsgesellschaft, die in Zukunft durch die sog. ePrivacy-Verordnung ersetzt werden.
Die allgemeine Verordnung bedeutet jedoch nicht nur Verpflichtungen. Der positive Beitrag der allgemeinen Verordnung ist die Vereinfachung des rechtlichen Umfelds, die Regeln über den Schutz personenbezogener Daten werden in allen EU-Ländern die gleichen sein. Es entsteht eine zentrale Anlaufstelle, Unternehmen werden daher nur mit einer Behörde verhandeln, was ihnen eine größere Rechtssicherheit bringt. Multinationale Unternehmen erhalten klare und eindeutige Regeln. Das Recht auf die Übertragbarkeit von Daten erleichtert den potentiellen Kunden die Übertragung ihrer Daten unter den Dienstleistern, was die Wettbewerbsfähigkeit unterstützen wird. Die allgemeine Verordnung kann möglicherweise auch Chancen bieten.