Das neue EU-Datenschutzrecht: Ein Überblick über die Herausforderungen und Risiken

Durch die im Mai 2016 verabschiedete Datenschutz-Grundverordnung kommen Mitte 2018 einige Veränderungen auf Unternehmen zu. –Die Unternehmen haben Herausforderungen zu bewältigen, mit denen sie sich bereits jetzt beschäftigen sollten!

Das neue EU-Datenschutzrecht – Herausforderungen, Risiken und was Sie tun können
Jörg F. Smid, Fachanwalt für IT-Recht bei DAMM & MANN

Gemeinsam mit unserem Experten Jörg F. Smid (Fachanwalt für IT-Recht bei der Kanzlei DAMM & MANN) organisieren wir am 26. September 2017 in Hamburg das nächste Seminar „Das neue EU-Datenschutzrecht – Herausforderungen, Risiken und was Sie tun können“. Hier gibt er bereits erste Einblicke in die Themen und warum man schon jetzt sich mit diesen beschäftigen sollte.

 

 

Allgemein möchte ich kurz darauf hinweisen, dass eine Vorbereitungszeit von nur aktuell noch etwas mehr als einem Jahr und noch lediglich acht Monaten ab dem Zeitpunkt des Seminars bei einer derart grundlegenden Rechtsänderung jedenfalls aus rechtlicher Sicht keinesfalls zu großzügig bemessen ist. Dies gilt umso mehr, als die Verordnung, wenn sie wirksam wird (am 25.05.2018) keine Übergangszeit vorsieht. Das heißt die Regelungen gelangen ab dem 25.05.2018 sofort zur Anwendung und Rechtsverstöße können durch die zuständigen Aufsichtsbehörden sofort geahndet werden.

Wir werden in dem Seminar die Neuregelungen vorstellen sowie einen Vergleich zur aktuellen Rechtslage ziehen. Vor allem auf die folgenden kritischen Punkte werden wir im Detail eingehen:

(Weitere) Nutzung personenbezogener Daten zu Werbezwecken und Werbemittelgestaltung

Dabei spielt insbesondere die Frage eine Rolle, ob und unter welchen Voraussetzungen künftig eine Einwilligung in die Nutzung personenbezogener Daten zu Werbezwecken erforderlich ist und/oder in welchem Rahmen eine solche Nutzung durch berechtigte Interessen gedeckt ist. An dieser Stelle wird es darum gehen, ob und gegebenenfalls wie Werbemittel künftig gestaltet werden können/müssen sowie insbesondere welche Informationen den Betroffenen gegeben werden müssen. So sieht die Datenschutz-Grundverordnung eine deutliche Ausweitung der Informationspflichten dessen vor, der personenbezogene Daten verarbeitet und sei es auch zu Werbezwecken.

Zweckänderung

In diesem Zusammenhang wird die Frage der sogenannten Zweckänderung relevant sein, d.h. die Frage, ob und inwieweit bspw. im Rahmen eines Vertragsverhältnisses (z.B. eines Abo-Vertrages) erhobene personenbezogene Daten anschließend zu Werbezwecken genutzt werden dürfen.

Auftragsdatenverarbeitung

Jede Datenverarbeitung durch beauftragte Dritte stellt grundsätzlich eine Auftragsdatenverarbeitung dar. Insoweit wird zu erörtern sein, ob und inwieweit bestehende Auftragsdatenverarbeitungsverträge anzupassen oder neu zu schließen sind.

Rechte der Betroffenen (Bsp. Recht auf Vergessenwerden)

Die Datenschutz-Grundverordnung regelt teilweise erweiterte Rechte der Betroffenen im Verhältnis zu den Unternehmen, die ihre Daten verarbeiten. Das viel zitierte „Recht auf Vergessenwerden“ ist nur eines dieser Rechte. Es ist zwar insbesondere mit Blick auf die sozialen Netzwerke wie Facebook oder Twitter in die Verordnung aufgenommen worden. Dies bedeutet jedoch nicht, dass dieses Recht der Betroffenen nicht auch gegenüber Verlagen zur Anwendung gelangen kann. Hier wird zu besprechen sein, welche Vorkehrungen zu treffen sind, wenn Betroffene das Recht „auf Vergessenwerden“ einfordern. Darüber hinaus sieht die Datenschutz-Grundverordnung vor, dass unter bestimmten Voraussetzungen Dritte darüber zu informieren sind, dass eine betroffene Person die Löschung ihrer personenbezogenen Daten verlangt hat. Auch hier werden die Daten verarbeitenden Unternehmen entscheiden müssen, ob und ggf. welche Prozesse sie hierfür vorhalten.

Datentransfer

Zuletzt wird als ein weiterer großer Block das Thema Datentransfer an Drittstaaten thematisiert werden. Hier wird es nicht nur um die Frage der Übermittlung personenbezogener Daten an die USA gehen, sondern auch um die Übermittlung an andere Drittstaaten außerhalb der Europäischen Union.

All diese Themen bedürfen meines Erachtens einer langfristigen Vorbereitung. Erfahrungsgemäß sind dabei frühzeitige Informationen hilfreich und vor allem notwendig.“