EU-DSGVO

EU-DSGVO: Das ändert sich

Ende Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft und bringt zahlreiche Änderungen mit sich

Lange war sie in Arbeit, aber in diesem Jahr ist endlich das Inkrafttreten der EU-DSGVO in Sicht. Tatsächlich verkündete die EU-Kommission bereits im Januar 2012 eine EU-Datenschutzreform von der dieses Gesetz tatsächlich nur ein Teil ist. Ziel ist es die europäischen und nationalen Datenschutzvorschriften zu vereinheitlichen und den Verwaltungsaufwand für Unternehmen zu reduzieren. Die Europäische Kommission rechnet für letztere mit bis zu 2,3 Milliarden Euro Kosteneinsparungen jährlich. Außerdem werden zahlreiche Grundsätze verankert, die die Datensicherheit für private Nutzer erhöhen.

Ab 25. Mai 2018 müssen die Regelungen der neuen Datenschutzregelung umgesetzt werden. Für viele Unternehmen und Bürger herrscht aber noch Unklarheit, welche Dinge sich konkret ändern.

Ziele der DSGVO

Primäres Ziel der neuen Datenschutzverordnung ist eine Vereinheitlichung der Regeln, die für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen gelten. Künftig sollen diese Vorschriften EU-weit einheitlich sein. Dadurch sollen personenbezogene Daten künftig besser geschützt werden und der freie Verkehr von Daten innerhalb des europäischen Binnenmarktes vereinfacht werden. Eine ähnliche, den heutigen Ansprüchen aber nicht mehr genügende Verordnung, die „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ war seit 1995 in Gebrauch und wird durch die DSGVO ersetzt.

Rechtlich gesehen besteht hier einer der großen Unterschiede zur Richtline 95/46/E, da diese in nationales Recht umgesetzt werden musste. Die neue DSGVO gilt hingegen ab dem 28. Mai 2018 umgehend für alle EU-Mitgliedsstaaten und ist bereits seit 24. Mai 2016 maßgeblich für alle neuen Rechtsvorschriften, die in den Mitgliedsstaaten erlassen werden. Das bedeutet, dass alle den Datenschutz betreffenden Gesetzte, die seit Ende Mai 2016 erlassen wurden, bereits den neuen Regelungen entsprechen.

Außerdem hat die DSGVO noch weitere sekundäre Ziele, die beträchtlichen Einfluss auf den Umgang von Unternehmen mit den Daten ihrer Kunden oder Nutzer haben.

  1. Rechtschaffenheitspflicht/Meldepflicht bei Datenpannen: Unternehmen müssen schwere Datenschutzverstöße künftig umgehend den nationalen Datenschutzbehörden und betroffenen Personen mitteilen.
  2. Stärkung der Rechte nationaler Datenschutzbehörden: Dies betrifft in Deutschland zum Beispiel in Deutschland den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Künftig wird diese eigenständige oberste Bundesbehörde in ihrer Unabhängigkeit gestärkt und verfügt über stärkere Sanktionsmittel als bisher.
  3. Marktortprinzip: Unternehmen, die Daten nicht innerhalb der EU verarbeiten, ihre Dienste aber innerhalb der EU anbieten, unterliegen künftig den Regelungen der EU. Das betrifft besonders US-amerikanische Unternehmen wie Facebook oder Twitter.
  4. Datenübertragbarkeit und Recht auf Vergessenwerden: Bürger haben künftig das Recht, Daten, die sie zum Beispiel bei Facebook eingegeben haben, in einem gängigen, maschinenlesbaren Format, wie einer Excel-Tabelle, vom betreffenden Anbieter zu erhalten. Außerdem haben Sie das Recht diese Daten an weitere Anbieter weiterzugeben, wenn sie dies möchten. Außerdem haben Bürger das Recht einzufordern, das bestimmte Daten wie Bilder, Beiträge, Videos oder Ähnliches, von den betreffenden Anbietern gelöscht werden. Diese Daten sollen danach nicht mehr im Internet – zumindest bei dem betreffenden Anbieter zu finden sein.

Wen betrifft die EU-DGSVO?

Die neue Datenschutzregelung verfügt über einen erweiterten Geltungsbereich – sowohl sachlich als auch räumlich.

Sachlicher Geltungsbereich

Artikel 2 der DSGVO legt den sachlichen Geltungsbereich fest:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Wie in allen amtlichen Dokumenten wird hier eine Reihe von Begriffen verwendet, deren Definition dem Leser geläufig sein muss. In diesem Fall geht es vor allem um folgende Termini:

  • Personenbezogene Daten: Der Begriff der personenbezogenen Daten wird in Artikel 4 Nr. 1 der DSGVO definiert und umfasst Informationen wie Vor- und Nachname, Postanschrift, Telefonnummer, Autokennzeichen und die IP-Adresse. Generell reicht es aus, wenn beliebige Daten einer konkreten Person zugeordnet werden können – egal um welche Daten es sich genau handelt.
  • Automatisierte und nicht-automatisierte Verarbeitung: Werden die oben genannten Daten in irgendeiner Form verarbeitet, gilt die DSGVO. Dabei ist es gleich, ob die betreffenden Informationen mit der Hand aufgeschrieben oder zum Beispiel manuell in eine Datenbank ein gepflegt werden (nicht-automatisierte Verarbeitung) oder per Computer, Smartphone, Kamera, Webcam, Dashcam, Scanner oder Kopierer in ein System überführt werden. Dies betrifft auch alle Informationen, die durch eine Nutzung des Internets, eines Computers oder von E-Mails entstehen und weiterverwendet werden.
  • Dateisystem: Als Dateisystem definiert die DSGVO nach Artikel 4 Nr. 6 „(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“. Das bedeutet, dass nicht nur digitale Datenbanken, sondern auch haptische Akten künftig unter die DSGVO fallen.
  • Verarbeitung: Verarbeitung von Daten umfasst nach Artikel 4 Nr. 2 der DSGVO „(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Es gibt einige wenige Ausnahmen, bei denen die neue Datenschutzverordnung nicht gilt. Nach Artikel 4 Absatz 2 DSGVO sind dies:

  • „die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt,
  • im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  • natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
  • die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich“

Besonders die Ausnahme im Bezug auf die private Nutzung ist interessant. Ausgenommen sind hier nämlich zum Beispiel private Adressverzeichnisse, die Archivierung von privatem Schriftverkehr oder die Aufbewahrung von Social Media-Kommunikation, in Form von Screenshots oder Ähnlichem.

Räumlicher Geltungsbereich

Wichtig für die Entscheidung, ob der räumliche Anwendungsbereich der DSGVO auf ein Unternehmen oder einen anderen Nutzer gilt, sind folgende Faktoren:

  • Es werden personenbezogene Daten von Personen verarbeitet, die sich in EU-Mitgliedsstaaten befanden
  • Zu diesem Zweck existiert eine Niederlassung nach Art. 3 Abs. 1 DSGVO – unabhängig davon, ob die Daten tatsächlich in dieser Niederlassung verarbeitet werden
  • Es existiert keine Niederlassung und die Daten werden außerhalb der EU verarbeitet – die Datenverarbeitung muss in diesem Fall mit dem Anbieten von Waren und/oder Dienstleistungen innerhalb der Union zusammenhängen oder das Verhalten von Personen verfolgt werden soll.

Die genannten Punkte haben einige interessante Implikationen, über die sich Anwender im Klaren sein sollten. Dazu zählen:

  • Es geht allgemein um die Verarbeitung von personenbezogenen Daten. Ob die betreffenden Nutzer Bürger eines EU-Mitgliedsstaats sind, ist dabei vollkommen unerheblich. Das bedeutet, dass zum Beispiel auch die Daten von US-Bürgern in dem Moment unter die Richtlinien des DSGVO fallen, sobald sie sich innerhalb der Grenzen der EU befinden.
  • Die Entscheidung, ob ein Anbieten von Waren oder Dienstleistungen innerhalb der EU beabsichtigt war, ist nicht leicht. Das Angebot muss mit Eindeutigkeit ergeben, dass es für Unionsbürger gedacht ist – Sprache des Angebots, eine Domain innerhalb der Union oder Kontakt innerhalb der EU sind keine ausreichenden Gründe für diese Annahme. Anbieter können auf einfachem Wege Klarheit schaffen, indem Sie einen deutlich sichtbaren Hinweis anbringen, dass das betreffende Angebot nicht für EU-Bürger gedacht ist. Letztendlich bleibt die Entscheidung, ob es sich um ein „absichtliches Anbieten“ handelt oder nicht eine Ermessensfrage unter Einbeziehung aller Faktoren.
  • Soll das Verhalten von Personen innerhalb der EU beobachtet werden, tritt automatisch die DSGVO in Kraft. Im Zusammenhang mit der Beobachtung von Internetaktivitäten zu Zwecken des Profilings oder Trackings sorgt dies dafür, dass in diesem Fall weltweit die Vorgaben des DSGVO eingehalten werden müssen.
  • Die Definition einer „Niederlassung“ nach DSGVO ist in Artikel 3 Absatz 1 DSGVO festgeschrieben. Kennzeichnend für eine Niederlassung ist demnach, dass diese Einrichtung die Ausführung einer tatsächlichen Tätigkeit erlaubt. Nach diesem Kriterium können sogar einzelne Abteilungen innerhalb eines Unternehmens als Niederlassungen im Sinne der DSGVO betrachtet werden. Dabei ist die Rechtsform der betreffenden Einrichtung nicht relevant. Es kann sich sowohl um eine Zweigstelle als auch um eine Tochterfirma mit eigener Rechtspersönlichkeit handeln.

Konsequenzen der DSGVO für Unternehmen

Die neue Datenschutzverordnung bringt sowohl für Verbraucher als auch für Unternehmen zahlreiche Änderungen mit sich. Aktuell ist noch nicht abzuschätzen, ob sich die Pläne der Kommission bewahrheiten und es zu einem Bürokratieabbau kommt oder ob es wegen eventuell zunehmender Anfragen bei den zuständigen Behörden – besonders wegen der Pflicht zur Datenschutz-Folgeabschätzung – tatsächlich zu negativen Auswirkungen kommt.

Technische Umsetzung des Datenschutzes

Mit der DSGVO sind Unternehmen verpflichtet, angemessene technische und organisatorische Maßnahmen für die Verarbeitung von Daten einzurichten. Dies soll über zwei Wege geschehen:

  • Data protection by design, auch „Privacy by design“ genannt: Datenschutz und Datensicherheit werden von Anfang an bei der Implementierung von IT-System bedacht. Dies soll verhindern, dass Datenschutz erst durch zusätzliche und teure Zusatzprogramme umgesetzt wird. Möglichkeiten zur Deaktivierung von Funktionen, Anonymisierung und Pseudonymisierung von Daten oder Funktionen zur Authentisierung, Authentifizierung und Verschlüsselung sollen von Anfang an Teil der betreffenden Systeme sein.
  • Data protection by default, auch „Privacy by default“ genannt: Systeme zur Datenverarbeitung sollen so voreingestellt werden, dass der Datenschutz eingehalten wird. Dazu gehört zum Beispiel, dass nur das System nur solche personenbezogene Daten verarbeitet, die für den jeweiligen Zweck notwendig sind. Oftmals besitzen die Nutzer der Systeme nicht die ausreichenden IT-Kenntnisse, um Einstellungen zum Schutz der Daten selbst vornehmen zu können. Außerdem sollen den Anwendern Funktionen zur Verfügung gestellt werden, mit denen sie ihre Daten selbst schützen können, zum Beispiel durch Einsatz von Verschlüsselungstechniken.

Bestellung von Datenschutzbeauftragten

Künftig sieht die DSGVO vor, dass EU-weit Datenbeauftragte bestellt werden. Dies gilt sowohl für öffentliche Stellen als auch für private Unternehmen, bei denen besonders risikoreiche Datenverarbeitung stattfindet. Nach Artikel 4 Nr. 7 der DSGVO fällt darunter „jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Aufgabe des für die Datenverarbeitung

Verantwortlichen ist es, angemessene Strategien festzulegen und Maßnahmen zu implementieren, die den Datenschutz gewährleisten. Zu diesem Zweck müssen sowohl die die technischen Gegebenheiten darauf ausgelegt sein(data protection by design), zum Beispiel eine möglichst schnelle Pseudonymisierung vorzunehmen, als auch die Voreinstellungen im System selbst den Nutzern erleichtern, den Datenschutz einzuhalten (data protection by default). Weitere mögliche Wege sind zum Beispiel, dass der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen oder das Unternehmen transparent darstellt auf welche Art und Weise und zu welchem Zweck personenbezogenen Daten verarbeitet werden.

Gerade für letzteres ist ein Verzeichnis nach Artikel 30 DSGVO sinnvoll. Darin sollten folgende Informationen enthalten sein:

  • Informationen zu der für die Datenverarbeitung verantwortlichen Person inklusive Name und Kontaktdaten
  • Wenn möglich, Vertreter der für die Datenverarbeitung verantwortlichen Person und des Datenschutzbeauftragten
  • Darstellung zu welchem Zweck die Verarbeitung von Daten erfolgt
  • Auflistung von Personengruppen, die von der Datenverarbeitung betroffen sind
  • Auflistung, welche personenbezogenen Daten verarbeitet werden
  • Auflistung von Empfängern, die besagte personenbezogenen Daten erhalten oder wiederum an weitere Akteure weitergeben
  • Informationen darüber, ob Daten an ein Drittland oder an eine internationale Organisation weitergegeben werden
  • Angabe von vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien – wenn möglich
  • Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherung des Datenschutzes – wenn möglich

Informationen für Verbraucher

Darüber hinaus müssen Unternehmen, die unter die Regelungen der DSGVO fallen, Verbrauchern folgende Informationen zur Verfügung stellen:

  • Welche Rechte Betroffene besitzen besonders in Hinsicht auf Auskunft, Berichtigung der Daten, Löschung, Möglichkeiten zur Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und die Datenübertragbarkeit.
  • Wenn die Verarbeitung der Daten mit Einwilligung der Betroffenen erfolgt, müssen diese über die Möglichkeiten eines Widerrufs der Einwilligung informiert werden. Außerdem gilt es darauf hinzuweisen, dass die Datenverarbeitung bis zum Widerspruch rechtmäßig erfolgt.
  • Betroffene Verbraucher müssen darüber aufgeklärt werden, dass sie sich bei einer Aufsichtsbehörde beschweren können, wenn sie der Meinung sind, dass die Datenverarbeitung unrechtmäßig erfolgt.
  • Unternehmen sind verpflichtet darüber zu informieren, ob Verbraucher personenbezogene Daten aus gesetzlichen oder vertraglichen Gründen bereitstellen müssen. Außerdem muss klar erkennbar sein, ob die Daten für einen Vertragsabschluss notwendig sind und welche Konsequenzen die Nichtbereitstellung hat.
  • Sofern Techniken des Profilings oder der automatisierten Entscheidung eingesetzt werden, müssen Verbraucher über die Tragweite, die angestrebten Auswirkungen und der zu diesem Zweck eingesetzten Logik beziehungsweise des Algorithmus informiert werden.

Meldepflichten bei Datenschutzverstößen

Dieser Punkt der DSGVO klingt zuerst nicht neu, da Unternehmen bisher auch verpflichtet waren, Aufsichtsbehörden und betroffene Verbraucher über Datenschutzverstöße in Form von Pannen zu informieren. Die neu geltende Grundverordnung verschärft die Richtlinien für solche Data Breachs aber noch einmal deutlich.

Als Datenpannen sieht die DSGVO solche Verstöße gegen den Datenschutz an, bei denen Unberechtigte Personen oder Organisationen Zugriff auf personenbezogene Daten erhalten. Hierbei ist eine Vielzahl von Gründen für den Data Breach möglich. Einige Beispiele sind:

  • Hackerangriffe
  • Fehler im System, durch die Nutzer auf Daten anderer Zugreifen können
  • Verlust von Datenträgern, zum Beispiel eines USB-Sticks
  • Unbefugtes Weitergeben von zum Beispiel Links durch Mitarbeiter

Ob die Datenpanne absichtlich oder unabsichtlich herbei geführt wurde, ist im Sinne der DSGVO irrelevant. Wichtig ist in diesem Fall, dass Daten Unberechtigten zur Verfügung stehen oder standen und dies weitreichende Folgen für die Betroffenen haben können. Diese reichen von Rufschädigung, zum Beispiel wenn es sich um Mitgliedsdaten einer Dating-Plattform handelt, über Kreditkartenmissbrauch bis hin zum Identitätsdiebstahl. Gerade Unternehmen, bei denen Datensicherheit von Haus aus besonders wichtig ist, haben im Fall von Data Breachs mit massiven, negativen Folgen zu rechnen. Dabei kann es sich sowohl um Handelsunternehmen, oder um Social Media-Plattformen handeln. Egal welcher Art das betroffene Unternehmen ist, ein Verstoß gegen den Datenschutz zieht künftig deutlich stärkere Konsequenzen nach sich.

Nach der bisherigen Rechtsprechung sind Datenpannen unter Berücksichtigung von zwei Voraussetzungen meldepflichtig: Es sind sogenannte „Risikodaten“ betroffen, darunter besondere personenbezogene Daten, oder es handelt sich bei den an Dritte gelangten Daten um Bank- oder Kreditkartenkonten. Aus diesen Gründen war die Anzahl der meldepflichtigen Datenpannen nicht besonders hoch. Mit der DSGVO ändert sich dies, da die Regelungen für die Meldepflicht bei Datenpannen deutlich verschärft wurden.

Meldepflicht an die zuständige Aufsichtsbehörde und die Betroffenen

Künftig müssen Verletzungen des Schutzes von personenbezogenen Daten nach Artikel 33 Absatz 1 unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne an die zuständige Aufsichtsbehörde gemeldet werden. Erfolgt die Benachrichtigung der zuständigen Behörden später als vorgegeben, müssen dafür Gründe genannt werden. Ein Verstoß gegen die Meldepflicht kann empfindliche Strafen nach sich ziehen.

Die Meldung an die Aufsichtsbehörde muss nur dann nicht erfolgen, wenn die Verletzung des Datenschutzes voraussichtlich nicht zu Risiken für die Rechte und Freiheiten der betroffenen Personen führt.

Hat die Datenpanne hingegen ein hohes Risiko die persönlichen Rechte und Freiheiten der Betroffenen zur Folge, müssen diese unverzüglich informiert werden. Sowohl die Meldung an die Aufsichtsbehörde als auch an die Betroffenen muss folgende Informationen in möglichst einfacher und klarer Sprache enthalten:

  • Art der Datenschutzpanne
  • Angabe der Kategorien von Daten
  • Anzahl der betroffenen Personen, Kategorien und Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Kontaktdaten zu weiteren Anlaufstellen für Informationen, zum Beispiel Pressestelle oder eine Krisenhotline
  • Beschreibung der wahrscheinlichen Folgen, die durch die Verletzung des Datenschutzes entstehen
  • Beschreibung der Maßnahmen, die ergriffen werden, um den Schutz der personenbezogenen Daten wiederherzustellen und gegebenenfalls die Folgen des Data Breachs abzumildern.

Ausnahme für die Meldepflicht an Betroffene

Allerdings gibt es laut Artikel 34 Absatz 3 der DSGVO auch Ausnahmen, bei deren Eintreten die betroffenen Personen nicht über das Datenleck informiert werden müssen. Sofern eine der folgenden Bedingungen eintritt, ist eine Meldung an die Betroffenen nicht notwendig – die Information an die zuständige Aufsichtsbehörde muss aber dennoch erfolgen.

  • Der Datenschutzverantwortliche hat Maßnahmen getroffen, die es Dritten im Fall eines Datenlecks unmöglich machen, auf die Informationen zuzugreifen. Dies tritt beispielsweise ein, wenn die Daten verschlüsselt sind und Dritte daher nichts mit den erbeuteten Datensätzen anfangen können.
  • Wenn sichergestellt ist, dass ein hohes Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht.
  • Es mit einem unverhältnismäßig großen Aufwand verbunden wäre, alle Betroffenen einzeln zu informieren. In diesem Fall muss das betroffene Unternehmen eine öffentliche Bekanntmachung oder eine ähnlich wirksame Maßnahme umsetzen.

Dokumentationspflicht

Zusätzlich zu den Meldepflichten bestehen für Unternehmen im Falle einer Datenpanne noch Dokumentationspflichten. Darin müssen alle Verletzungen des Datenschutzes inklusive aller damit zusammenhängender Fakten dargestellt werden. Außerdem müssen deren Auswirkungen und die ergriffenen Maßnahmen zur Beseitigung des Problems genannt werden.

Bußgelder bei Nichteinhaltung der Vorschriften

Verstoßen Unternehmen gegen die Pflichten aus den Artikeln 33 und 34, zieht dies empfindliche Strafen nach sich. Im Falle von unterlassener oder zu später Meldung sowie bei Unterlassung der Dokumentation kann die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 20 Millionen Euro oder sogar vier Prozent des weltweit erzielten Jahresumsatzes des betroffenen Unternehmens verhängt werden.

Wegfallen des Verwertungsverbots

Bisher war es nach Paragraf 42 Satz 6 BSDG so, dass Meldungen zu einem Data Breach nur nach Einwilligung des Verantwortlichen in einem Straf- oder Ordnungswidrigkeitsverfahren verwendet werden durften. Dies ändert sich mit der DSGVO. Künftig ist dieser Fall nicht mehr geregelt und es besteht die Möglichkeit, dass die Datenschutzverantwortlichen durch die Einhaltung ihrer Meldepflicht den Grundstein für ein Bußgeldverfahren gegen sich legen.

Auswirkungen der Meldepflicht

Es ist damit zu rechnen, dass die Menge der Meldungen bei den Aufsichtsbehörden mit Eintreten der Wirksamkeit der DSGVO deutlich zunehmen wird. Dies hat vor allem damit zu tun, dass künftig kein Zusammenhang mehr zwischen der Art der betroffenen personenbezogenen Daten und der Meldepflicht besteht.

Verschiedene Aufsichtsbehörden planen aufgrund der zukünftigen Mehrbelastung bereits Möglichkeiten, die hohe Anzahl von Meldungen schnell zu bearbeiten. Zu diesem Zweck sind zum Beispiel Online-Services zur Meldung von Datenlecks geplant.

Für Unternehmen ist es sinnvoll, die Zeit bis zum in Kraft treten der DSGVO zu nutzen, um effiziente Wege für die Meldung von eines Data Breachs zu schaffen. Aufgrund des klar definierten Inhalts dieser Schreiben, ist ein erhöhter Aufwand bei der Meldung von Datenschutzpannen an Behörden und Betroffene zu erwarten. Außerdem ist es wichtig, dass Unternehmen Mechanismen implementieren, die die schnelle Identifizierung von Verstößen gegen den Datenschutz möglich machen. Nur auf diese Weise können Unternehmen die Meldepflichten eingehalten und empfindliche Strafen vermeiden.


Warning: Use of undefined constant thumbnail - assumed 'thumbnail' (this will throw an Error in a future version of PHP) in /kunden/506574_53721/rp-hosting/1/1/dsgvo-gesetz.org/wp-content/themes/wisteria/template-parts/autoren-box.php on line 22

Yannick Esters
Yannick Esters ist Unternehmer, Publizist, Investor und Journalist. Der gelernte Verlagskaufmann gründete mit 24 Jahren seine erste Firma und versucht nicht erst seit seinem Start in die Selbständigkeit immer neue redaktionelle und journalistische Formate zu entwickeln um Leser mitzureißen.