Datenschutz: Was uns das EU-Recht angeht

» Von Dr. Ursula Widmer, 29.07.2016 16:00.

weitere Artikel

Datenschutzbeauftragter: Unternehmen, deren Kerngeschäft die regelmässige oder systematische Beobachtung von Betroffenen in grossem Umfang ist oder die in grossem Umfang sensitive Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen. Dabei kann es sich um einen Mitarbeiter oder um einen externen Dienstleister handeln. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter bestimmt werden.

Meldepflicht: Datenschutzverstösse, etwa bei Diebstahl, Verlust oder Offenbarung personenbezogener Daten an Unbefugte, sind innert 72 Stunden an die zuständige Datenschutzbehörde zu melden. Eine Ausnahme ist, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für die persönlichen Freiheiten und Rechte der betroffenen Personen führt. Zusätzlich müssen die betroffenen Personen selbst benachrichtigt werden, wenn für sie ein hohes Risiko besteht.

Aufzeichnungspflicht: Unternehmen müssen Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen. Dies beinhaltet die Dokumentation von Kontaktdaten der für die Verarbeitung verantwortlichen Personen, die Zwecke der Datenbearbeitung, die Kategorien der verarbeiteten Daten, der allfälligen Empfänger, an die Daten weitergegeben werden, Datenübermittlungen in EU-Drittländer, die Fristen für die Löschung der verschiedenen Datenkategorien und eine Beschreibung der vorgesehenen technischen und organisatorischen Schutzmassnahmen. 

Auch Auftragsdatenverarbeiter müssen über die von ihnen im Auftrag ausgeführten Datenverarbeitungen über ähnliche Aufzeichnungen verfügen. Unternehmen mit weniger als 250 Mitarbeiter sind von dieser Pflicht befreit, wenn die Datenverarbeitung kein Risiko für die Betroffenen darstellt und keine besonders schützenswerten Personendaten betrifft.

Privacy by design: Produkte und Services sind so zu erstellen, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.

Datenschutzfolgenabschätzung: Datenverarbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen beinhalten, bedürfen einer vorgängigen firmeninternen Prüfung, insbesondere bei der Verwendung neuer Technologien.

Recht auf Vergessenwerden: Die Durchsetzung des Rechts der Nutzer, Informationen wieder löschen zu lassen, wird erleichtert.

Portabilität: Die Nutzer müssen die Möglichkeit haben, Daten von einem Anbieter zum nächsten mitzunehmen.

Jugendschutz: Grundsätzlich dürfen Kinder unter 16 Jahren Onlinedienste wie Facebook, Video on Demand oder Chatrooms nur mit Zustimmung der Eltern nutzen. Den EU-Staaten steht es jedoch frei, tiefere Alterswerte festzulegen, wobei ein absolutes Mindestalter von 13 Jahren gilt.

One-Stop Shop: Betroffene sollen sich künftig in ihrer Sprache an die Datenschutzbehörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedsstaat geht.

Strafmass: Unternehmen, die gegen die neuen Datenschutzregeln verstossen, droht eine Geldstrafe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Kleineren Unternehmen drohen keine derartigen Sanktionen, wenn es sich um erstmalige, versehentliche oder kleinere Verstösse handelt.

Nächste Seite: Zustimmung ist ein Muss

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.