Ab dem 25. Mai 2018 ersetzt die europäische Datenschutzverordnung, in den Niederlanden auch „Algemene Verordening Gegevensbescherming″ (AVG) oder Datenschutz-Grundverordnung genannt, das aktuelle niederländische Datenschutzgesetz. Die neuen Datenschutzregeln erfordern von allen Beteiligten eine angemessene Vorbereitung.
Infolge der AVG gelten für Organisationen, die personenbezogene Daten verarbeiten, strengere Verpflichtungen. Organisationen und Unternehmen, egal ob gross oder klein, müssen in Zukunft noch besser nachweisen können, dass sie die Datenschutzbestimmungen einhalten. Zusammengefasst wird das neue Gesetz den Bürgern mehr Datenschutzrechte und den Aufsichtsbehörden mehr Befugnisse zur überwachung des Umgangs mit diesen Datenschutzrechten einräumen. Alle Daten, die auf natürliche Personen zurückzuführen sind, wie zum Beispiel Namen, Anschrift, Telefonnummern und E-Mailadressen, fallen unter diese Verordnung.
Was sind die wichtigsten Regeln der AVG?
1. Eigene Verantwortung: jeder für die Datenverarbeitung Verantwortliche muss nachweisen können, dass er die richtigen technischen und organisatorischen Massnahmen getroffen hat.
2. Verpflichtung zur Bestellung eines Datenschutzbeauftragten: Die AVG sieht die Bestellung eines betrieblichen oder behördlichen Datenschutzbeauftragten für zum Beispiel Behörden, Krankenhäuser, Versicherungsgesellschaften oder Suchmaschinen-Anbieter vor.
3. Bussgelder: Die niederländische Aufsichtsbehörde, „Autoriteit Persoonsgegevens″, wird ab Mai 2018 aktiv überprüfungen durchführen und kann Bussgelder festsetzen. Die Höhe der Bussgelder für Ordnungswidrigkeiten ist in bestimmten Fällen auf bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes festgelegt.
4. Rechte der betroffenen Personen: betroffene Personen (wie zum Beispiel Arbeitnehmer oder Kunden) haben das Recht auf Auskunft, das Recht auf Vergessenwerden und die Löschung von personenbezogenen Daten, das Recht auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung sowie das Recht, Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen.
AVG: Bedingungen für die Verarbeitung von personenbezogenen Daten
Bei der Verarbeitung von personenbezogenen Daten müssen folgende Bedingungen erfüllt werden:
- Personenbezogene Daten müssen auf rechtmässige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbare Weise (transparent) verarbeitet werden;
- Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Verarbeitung ist legitim, wenn der Zweck auf einer der sechs in der Verordnung genannten Rechtsgrundlagen (siehe „AVG auf einen Blick”) basiert;
- Nur die für den entsprechenden Zweck erforderlichen personenbezogenen Daten dürfen gespeichert werden;
- Wenn die Identifizierung für den Zweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht oder anonymisiert werden;
- Die personenbezogenen Daten müssen durch geeignete technische und organisatorische Massnahmen gesichert werden.
AVG: Pflicht zur Führung eines Verzeichnisses der Verarbeitungsvorgänge
Da die meisten Unternehmen systematisch personenbezogene Daten in zum Beispiel Kundendatenbanken oder Personalverwaltung erheben und verarbeiten, ist fast jedes zweite Unternehmen verpflichtet, ein Verzeichnis der Verarbeitungsvorgänge zu führen.
Das Verzeichnis vermittelt anhand einer Beschreibung Einblick in die Verarbeitungstätigkeiten. Das Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Ansonsten bestehen keine Formerfordernisse. Das Verzeichnis muss mindestens folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen / Datenschutzbeauftragten;
- Die Zwecke der Verarbeitung;
- Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- Eine allgemeine Beschreibung der technischen und organisatorischen Schutzmassnahmen.
Sowohl der Verantwortliche wie auch der Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen!
AVG: Festlegung von Vereinbarungen in einem Verarbeitervertrag
Der Verantwortliche für die Verarbeitung ist die natürliche Person oder Rechtsperson, die alleine oder gemeinsam mit anderen den Zweck sowie die Mittel der beabsichtigten Verarbeitung festlegt. So ist zum Beispiel ein Arbeitgeber, der die Daten seiner Arbeitnehmer verarbeitet, ein Verantwortlicher. Der Verantwortliche hat die Verpflichtung, die Daten entsprechend den Grundsätzen zur Verarbeitung personenbezogener Daten zu verarbeiten (siehe obige „Bedingungen für Verarbeitung″). Neben der Verpflichtung zur Führung eines Verzeichnisses wird der Verantwortliche auch mit dem Auftragsverarbeiter der personenbezogenen Daten bestimmte Vereinbarungen treffen müssen.
Derjenige, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, und dabei nicht unter der unmittelbaren Aufsicht des Verantwortlichen steht, ist ein Auftragsverarbeiter. Dies kann zum Beispiel eine Steuerberaterkanzlei sein, die für ein Unternehmen die Gehalts- und Finanzbuchhaltung führt. Mit diesem Auftragsverarbeiter muss ein Vertrag abgeschlossen werden.
AVG: Privacy by Design & Privacy by Default (Anforderungen an die Software)
Aufgrund der AVG-Datenschutzverordnung muss die gesamte Software, die innerhalb einer Organisation zur Verarbeitung personenbezogener Daten verwendet wird, der „Privacy by Design″-Anforderung entsprechen. Das bedeutet, dass das Datenverarbeitungssystem von vorneherein so entworfen ist, dass die Privatsphäre und der Datenschutz berücksichtigt und die Verarbeitung personenbezogener Daten auf ein Minimum beschränkt werden. Programme wie zum Beispiel Excel oder Word sind für die sichere Verarbeitung personenbezogener Daten nicht vorgesehen. Zudem ist fraglich, ob die Verschlüsselung einer Excel-Datei oder Word-Datei mittels eines Passwortes ausreicht, um die Datenschutzanforderungen zu erfüllen.
AVG: Meldung eines Datenlecks
Die Meldung eines Datenlecks war aufgrund der bestehenden Rechtslage bereits Pflicht. Auch unter der AVG muss eine Verletzung des Schutzes personenbezogener Daten, die zu einer unbefugten Verarbeitung dieser Daten führen kann, gemeldet werden. Als Verantwortlicher für die Datenverarbeitung müssen Sie ein Verfahren aufstellen, in dem die Vorgehensweise bei einem eventuellen Datenleck eindeutig festgelegt ist.
Die AVG auf einen Blick:
Sie haben eine oder mehrere Rechtsgrundlagen für die Erhebung von personenbezogenen Daten:
- Einwilligung der betroffenen Person;
- Lebenswichtiges Interesse;
- Rechtliche Verpflichtung;
- Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich;
- öffentliches Interesse;
- Berechtigtes Interesse.
Sie lassen die erforderliche Sorgfalt walten:
- Bestellung eines Datenschutzbeauftragten (wenn notwendig);
- Privacy by Design;
- Folgenabschätzung (wenn notwendig).
Sie treffen die notwendigen technischen und organisatorischen Sicherheitsvorkehrungen:
- Verzeichnis mit allen Verarbeitungsvorgängen;
- Datenschutzbestimmungen;
- (Digitale) Datensicherheit.
Sie tragen den Rechten betroffener Personen Rechnung:
- Recht auf Auskunft;
- Recht auf änderung;
- Recht auf Vergessenwerden;
- Recht auf Datenübertragbarkeit;
- Recht auf Unterrichtung.
Das AVG-Hilfstool der niederländischen Aufsichtsbehörde „Autoriteit Persoonsgegevens″ zeigt Ihnen auf, welche Massnahmen Sie treffen müssen, um Ihr Unternehmen fit für die europäische Datenschutz-Grundverordnung zu machen.
Haben Sie Fragen zu unseren Dienstleistungen? Füllen Sie einfach unser Kontaktformular aus. Unsere deutschsprachigen Berater werden sich umgehend mit Ihnen in Verbindung setzen.
