Wichtig bei den Erlaubnistatbeständen ist der Zweckbindungsgrundsatz: Wenn die Nutzung zu einem anderen als dem ursprünglich mitgeteilten Zweck erfolgen soll, werden datenschutzrechtliche Fragen unter dem Gesichtspunkt der Weiterverarbeitung relevant.
Im Jahr 2015 hat die bayerische Landesdatenschutzbehörde ein Bußgeld in fünfstelliger Höhe verhängt, nachdem im Rahmen eines Asset-Deals Kundendaten vom Verkäufer an den Erwerber weitergegeben wurden. Weitere Bußgelder in vergleichbaren Fällen hat die Landesdatenschutzbehörde bereits angekündigt.
Informationspflichten ausgeweitet
Die Informationspflichten sind im Vergleich zum alten Bundesdatenschutzgesetz ausgeweitet und an Fristen gekoppelt worden. Nur wenige Ausnahmen von der Informationspflicht sind in besonderen Fällen zugelassen, so zum Beispiel, wenn der Aufwand unverhältnismäßig groß wäre oder es besondere Rechtsvorschriften gibt, die Ausnahmen regeln.
Auftragsverarbeitung
Wichtige Änderungen gibt es auch im Bereich der Auftragsverarbeitung. Hier ist der Begriff des Verantwortlichen und dem (neu) Auftragsverarbeiter nicht identisch mit dem alten Bundesdatenschutzgesetz.
Insbesondere ist das bisherige Abgrenzungskriterium der Funktionsübertragung in der Datenschutzgrundverordnung weggefallen. Der Auftragsverarbeiter erhält mehr Verantwortung, mehr Pflichten und ist weisungsgebunden gegenüber dem Verantwortlichen.
Im Fall von Datenschutzverletzungen gelten nun auch für den Auftragsverarbeiter neue Haftungsregelungen. Flankiert werden die Regelungen zur Auftragsverarbeitung durch Novellierungen in verschiedenen Gesetzen zu Berufsgeheimnissen.
Widerspruchsrecht
Künftig gibt es das eigenständig geregelte Widerspruchsrecht, mit dem der Betroffene einer – zulässigen – Datenverarbeitung im Einzelfall widersprechen kann. Der Widerspruch hat zur Folge, dass die weitere Verarbeitung von personenbezogenen Daten verboten ist.
Datenübertragbarkeit und Datensicherheit
Anspruchsvoll wird für Unternehmen die Erfüllung der neuen Anforderungen im IT-Bereich. Sowohl das neue „Recht auf Datenübertragung“ als auch der Grundsatz der „datenschutzfreundlichen Prozesse“ werden von den Unternehmen neue Wege und Lösungen verlangen.
Besondere Fragen werfen hierbei die Anforderungen an die Sicherheit personenbezogener Daten auf, insbesondere, soweit es um die sichere Kommunikation im elektronischen Postverkehr und der Notwendigkeit von Maßnahmen zur Sicherstellung des Schutzes vor unbefugtem Zugriff geht (Stichwort „Mail-Verschlüsselung“).
Gleiches gilt für die Frage, wie künftig die internationale Datenübermittelung, zum Beispiel bei zentraler Verwaltung der Personaldaten innerhalb eines internationalen Konzerns umgesetzt werden kann.
Seite drei: Organisatorische Anforderungen