Die DSGVO (EU Verordnung 2016/679) wurde im Frühjahr 2016 verabschiedet und wurde
umfangreich bis zum 25. Mai 2018 umgesetzt.
Mit der DSGVO wurde eine Vereinheitlichung der Standards und Regularien für die gesamte EU und
dabei auch Anpassung an die technologisch-ökonomischen Begebenheiten (z.B. Cloud-Technologien
und ansteigende Auslagerung von Datenverarbeitungen und Datenexporten) erreicht.
Die DSGVO verfolgt darüber hinaus auch das Ziel, das Datenschutzniveau insgesamt zugunsten der
EU-Bürger zu erhöhen.
Einbeziehung der Aufsichtsbehörden: Die DSGVO sieht bei Datenverarbeitungen mit hohem
Risiko für die Rechte der Betroffenen eine zwingende Einbeziehung der Datenschutzaufsichtsbehörde
vor Inbetriebnahme vor.
Informationspflichten: Die DSGVO erweitert den Inhalt der Unterrichtung des Betroffenen bei
Datenverarbeitungen (z. B. Name und Kontaktdaten des Datenschutzbeauftragten, Zweck der
Verarbeitung). Dies gilt sowohl für Verarbeitungen auf der gesetzlichen Grundlage als auch
aufgrund einer Einwilligung. Die DSGVO trifft diesbezüglich auch Einzelfallregelungen, die
aus dem bisherigen Recht nicht bekannt waren.
Auftragsdatenverarbeitung: Die Verarbeitung personenbezogener Daten durch Dritte wird neu geregelt.
Neben die Änderung der inhaltlichen Anforderungen an eine solche Vereinbarung tritt auch eine
gemeinsame Haftung von Auftraggeber und Auftragsverarbeiter.
Recht auf Datenportabilität: Dieses Recht räumt den Bürgern einen Anspruch auf Herausgabe der von
ihnen zur Verfügung gestellten Daten in einem üblichen maschinenlesbaren Format ein, sofern die
Datenverarbeitung allein auf Einwilligung oder Vertrag beruht.
Recht auf Vergessenwerden: Dieses Recht betrifft den Anspruch auf Datenlöschung, wenn die
Speicherung der Daten nicht aus zwingenden rechtlichen oder vertraglichen Gründen erforderlich ist.
Privacy by Design: Die DSGVO verpflichtet den für die Verarbeitung Verantwortlichen dazu, bereits
bei der Entwicklung von Produkten und Dienstleistungen datenschutzrechtliche Vorgaben, wie die
Datenminimierung, zu berücksichtigen.
Privacy by Default: Darüber hinaus besteht die Verpflichtung, Standardeinstellungen so vorzunehmen,
dass nur diejenigen Daten erhoben werden, die für den konkreten Zweck benötigt werden.
Datenschutzfolgeabschätzungen: Die DSGVO konkretisiert die Verpflichtungen der Vorab-Kontrolle durch
den Datenschutzbeauftragten und räumt den Aufsichtsbehörden die Möglichkeit ein, Positiv- und Negativlisten zu veröffentlichen, für welche Verfahren Datenschutzfolgeabschätzungen nötig sind und für welche nicht.
Sanktionen: Die Anhebung des Sanktionsrahmens bei Datenschutzverstößen ist eine erhebliche Ver-
schärfung durch die DSGVO. Zukünftig erhöht sich der Bußgeldrahmen auf bis zu 20 Mio. Euro oder 4 %
des weltweiten Vorjahresumsatzes.
Insbesondere in der Finanzwirtschaft sind die vorhandenen IT-Strukturen häufig äußerst komplex
und bestehen oftmals aus tausenden IT-Applikationen. Es war auch aufgrund „des Alters“ der
Applikationen nicht immer davon auszugehen, dass hier bereits Anforderungen wie Privacy-by-Design
umgesetzt wurden. Diese Herausforderung wurde weitestgehend gemeistert.
Auch Themen wie die Bearbeitung von Auskunftsersuchen oder die Umsetzung von Sperr- und
Löschanforderungen (das “Recht auf Vergessen”) wurden selten bzw. bisher gar nicht berücksichtig
und wurden nunmehr umgesetzt.
Diese Beispiele zeigen nur auszugsweise den umgesetzten Handlungsbedarf, den es galt – auch im
Hinblick auf die aktuell drohende Strafzahlungen in zweistelliger Millionenhöhe – bis zum Mai 2018
umzusetzen.
Nutzen auch Sie auch weiterhin die VETERATOR GmbH mit ihrem umfangreichen bankfachlichen
Know-how und ihrer Erfahrung bei der Umsetzung regulatorischen Anforderungen als Projekt-,
Umsetzungs- und Realisierungspartner.