Zuletzt aktualisiert am 23.09.2024 um 4:51 Uhr, Geschätzte Lesezeit: 3-4 Minuten
Die neue EU-Datenschutzgrundversordnung (DSGVO), die ab dem 25. Mai in Kraft getreten ist, bringt zahlreiche neue Vorschriften für Europa und damit auch veränderte Pflichten im Umgang mit den personenbezogenen Daten. Ohne eine umfassende Information und Vorbereitungsphase ergaben sich zahlreiche Veränderungen für Unternehmen, Arbeitgeber, Personalabteilungen und andere Bereiche des öffentlichen Alltags, sodass eine Flut von bürokratischen Abwicklungsprozessen und erhebliche Diskussionen verursacht wurden.
Umfangreiche Gesetzgebung mit erheblichen Sanktionsmöglichkeiten
Die 99 Artikel umfassende neue europäische Verordnung stärkt in ihrer Gesamtheit vor allem die Rechte der Betroffenen und setzt so erhebliche verbindlichere Rechtsnormen gegenüber den bisherigen Vorschriften für die Bundesrepublik. Da die DSGVO bei Verstößen zum Teil immenses Sanktionspotenzial gegenüber den Unternehmen vorsieht, sollten die daraus resultieren, Pflichten unbedingt beachtet werden. Auch wenn wichtige Themen und eigenständige Regelungen zum Teil keine Beachtung in der neuen Regelung gefunden haben, ist eine genauere Information zu den Richtlinien innerhalb der Verordnung unbedingt notwendig.
Schon die Bundesregierung hatte sich in der Vergangenheit mit der Ausarbeitung des Bundesdatenschutzgesetzes schwergetan und so sind die augenscheinlichen Ähnlichkeiten zu den Pflichten bei der Erhebung von personenbezogenen Daten (§ 32 BDSG), die ihrerseits noch Gültigkeit haben und der neuen EU-Verordnung mit dem Artikel 26 (DSGVO) unverkennbar. Im Kern liegen die erheblichen Unterschiede bei den veränderten Richtlinien zum Umgang mit den personenbezogenen Mitarbeiterdaten. Hier spielen die in der DSVGO neu definierten Rechte der Betroffenen eine wesentlich verbindlichere Rolle.
Wichtige Rolle der Informationspflicht
Im Fokus der neuen EU-Verordnung steht die Pflicht zur umfassenden Information (Art. 12 ff. DSGVO), wodurch eine maßgebliche Transparenz umgesetzt wird. Unterschiede ergeben sich hierbei bei der Datenerhebung des Betroffenen und der Datenerhebung, welche nicht direkt bei dem Betroffenen erfolgt. Auch wenn einige der bislang bekannten Grundsätze Diskussionen hervorgerufen haben, sind sich die meisten Datenschutzexperten einig, dass vom Prinzip her die im Jahr 1996 erfolgte Datenschutzrichtlinie der geltenden Zweiteilung fortlaufende Anwendung findet.
Die Informationsrechte aus der DSGVO sind erheblich umfangreicher als die nationale Gesetzgebung und beinhalten eine Fülle von Vorgaben, die zu berücksichtigen sind. Ausschlaggebend ist auch die zeitliche Frist zur Einhaltung der Informationspflicht. Im Falle der Erhebung von Daten des Betroffenen ist dieser während der Maßnahme zu informieren, wobei die Vorschrift bei der Erhebung von personenbezogenen Daten bei nicht betroffenen Personen eine angemessene Frist einräumt, welche sich bis zu einem Monat bewegen kann.
Auskunftsrechte
Das in der neuen EU-Verordnung zu gewährende Auskunftsrecht garantiert den Betroffenen einen Nachweis von verantwortlicher Stelle, ob personenbezogene Daten erhoben und verarbeitet werden. Dieser Auskunftsanspruch des Betroffenen beinhaltet:
- Zweck der verarbeiteten Daten
- Auskunft über die Kategorisierung der Daten
- Gegenüber welchen Empfängern oder Kategorisierung von Empfängern werden die Daten offengelegt
- Offenlegungen auch außerhalb der Europäischen Union
- Dauer der Datenspeicherung sowie die Festlegungskriterien zur Festlegung der Datenspeicherungsdauer
- Recht auf Löschung oder Berichtigung der Daten
- Recht auf einschränkende Nutzung der Daten und Widerspruchsmöglichkeit auf deren Verarbeitung
- Beschwerderecht bei einer entsprechend zugeordneten Aufsichtsbehörde
Dokumentation und Verfahren
Hinsichtlich des Beschäftigungsschutzes im datenrechtlichen Sinne besteht für den Verantwortlichen eine sogenannte Dokumentationspflicht, um die Einhaltung der neuen europäischen Rechtsvorschrift nachweisen zu können. Die rechtsbindenden Vorschriften aus der DSGVO sind hierbei zwingend einzuhalten. Ein entsprechendes Verfahrensverzeichnis regelt die erforderlichen Angaben im Geltungsbereich der Datenschutzgrundverordnung und beinhaltet beispielsweise Namen und Kontaktdaten des Verantwortlichen sowie den Zweck der Datenverarbeitung. Ferner muss eine Beschreibung der Kategorisierung von betroffenen Personen und der personenbezogenen Daten erfolgen, die den Zweckinhalt der Empfänger sowie der Übermittlungen offenlegt.
Bewertung abgeben
( Abstimmen)