Einführung in der GDPR-Verordnung

Nur wenig als ein Jahr bleibt allen Subjekten, die personenbezogene Daten verarbeiten (Staatsbehörden, Handelskörperschaften, sowie kleine Unternehmen), zur Implementierung der Datenschutzregeln nach der neuen europäischen Verordnung – Datenschutz-Grundverordnung (General Data Protection Regulation – „GDPR“). Sollten die betroffenen Subjekte neue, in der GDPR-Verordnung enthaltene Regeln der Verarbeitung personenbezogener Daten nicht implementieren,  können bis in die Höhe von 20 000 000 EUR oder bis in die Höhe von 4 % von ihrem Jahresumsatz bestraft werden.

Grundinformationen über die GDPR-Verordnung

Die GDPR-Verordnung, die schon am 25. Mai 2018 Wirksamkeit erlangen soll, reguliert neu z.B. Bedingungen für die Einholung der Zustimmung der Verarbeitung personenbezogener Daten von Naturpersonen und von unternehmerisch tätigen Naturpersonen. Die Zustimmung der Verarbeitung personenbezogener Daten muss ausdrücklich, eindeutig, unbedingt und jederzeit zurückziehbar sein. Naturpersonen sollen fernerhin das Recht haben, z.B. von Subjekten verarbeitend ihre personenbezogene Daten einen Auszug der personenbezogenen, von ihnen geführten Daten zu verlangen, den Transfer von solchen Daten zu ermöglichen oder solche Daten aus Innensystemen dieser Subjekte unwiderruflich zu löschen.

Zugleich ist es zu bemerken, dass die Verantwortung für die Erfüllung der Erfordernisse der  GDPR-Verordnung weiterhin primär der Datenverantwortliche trägt, der auch die Übereinstimmung der Verarbeitung der personenbezogenen Daten mit der GDPR-Verordnung folgerichtig nachweisen muss. Im Falle eines Vorfalls (z.B. Durchsickern personenbezogener Daten außerhalb der Systeme des Datenverantwortlichen), wird der Datenverantwortliche verpflichtet,  solchen Vorfall dem Aufsichtsamt und ggf. allen betroffenen Personen binnen 72 Stunden nach der Feststellung des Vorfalls zu melden.

Auf Organisationen öffentlicher Verwaltung oder Staatsunternehmen und auch auf die Gesellschaften, deren Haupttätigkeit in systematischem Monitoring der Subjekte (Naturpersonen) oder in umfangreicher Verarbeitung von Sonderkategorien von personenbezogenen Daten besteht, wird sich eine weitere Pflicht, und zwar die Pflicht, einen Beauftragten für den Datenschutz (Data Protection Officer, DPO) zu bestellen, beziehen.   Ein DPO wird besonders beauftragt sein, die Übereinstimmung der Tätigkeit dieser Subjekte mit der GDPR-Verordnung zu überwachen,  mit dem Amt für den Schutz persönlicher Daten zu kommunizieren, und interne Aufgaben wie z.B. interne Prüfungen oder Schulungen dieser Organisationen zu erfüllen.

Obwohl die GDPR-Verordnung von der bisherigen Regelung des Schutzes personenbezogener Daten ausgeht, stellt sie in der Praxis neue hohe insbesondere administrative Anforderungen an Datenverantwortliche. Einige unklare oder in der Praxis kompliziert anwendbare Ansprüche werden schrittweise von der WP2-Arbeitsgruppe ausgelegt. Seine Stellungnahmen publiziert auch das Amt für den Schutz persönlicher Daten. Es wird um eine äußerst lebendige Rechtsregelung gehen und es ist anzunehmen, dass sich die Grundrisse einer realen Implementierung der Anforderungen der GDPR-Verordnung an die Verarbeitung  personenbezogener Daten auch aufgrund der Rechtsprechung modifizieren werden.  

GDPR-Verordnung -  konkrete Auswirkung der GDPR-Verordnung auf einige Type von Subjekten:

  • Banken – in der Praxis werden sie verpflichtet sein, einen DPO zu bestellen und die Datenschutzfolgenabschätzung (PIA - Privacy Impact Assessment) nach dem Artikel 35 der GDPR-Verordnung bei der Einführung neuer Produkte durchzuführen, nationale Rechtsregelung vs. GDPR
  • Krankenhäuser und sonstige medizinische Einrichtungen – sie verarbeiten Sonderkategorien von Daten – sensitive Daten und die Bedingungen für die Verarbeitung der empfangenen personenbezogenen Daten, insbesondere für deren Sicherung, Schutz und Verfügung darüber werden jetzt verschärft. Es ist nötig, die Verarbeitung personenbezogener Daten für Nachsorge neu zu regeln (z.B. Weiterleitung von Daten bei Schrittmachern und ihre Überwachung über Computer). Die GDPR-Verordnung bezieht sich nicht nur auf Digitaldaten, sondern es ist auch nötig, die Verarbeitung der Daten der Patienten in händisch geführten Karteien neu zu regeln und zu sichern usw.
  • Öffentliche Verwaltung – Aufgaben der öffentlicher Hand können auch durch privatrechtliche  Personen ausgeführt werden (z.B. öffentlicher Massenverkehr, Wasser- und Energieversorgung, Straßeninfrastruktur, öffentliche-rechtliche Sender). Nach der Empfehlung des Art. 29 WP sollen auch diese Privatsubjekte einen DPO bestellen, obwohl ihnen i.d.S. des Art. 37 Abs. 1 der GDPR-Verordnung solche Pflicht nicht obliegt.  
  • IT Bereich – technologische Gesellschaften – Verwaltung, Entwicklung neuer IT und mobiler Anwendungen. Neue Anforderungen der GDPR-Verordnung an die Verarbeitung von Daten in diesem Bereich. Es werden hier oft Daten von Kindern und Jugendlichen  verarbeitet, die seitens der GDPR-Verordnung einen besonderen Schutz genießen.
  • Sicherheitssysteme – Sonderkategorie von personenbezogenen Daten: biometrische Daten und genetische Daten, Kameraüberwachungssysteme, spezielle verschärfte Regelung in der GDPR-Verordnung für die Verarbeitung dieser Daten. Folgerichtiger  wird ein Hinweis auf Kameraüberwachungssysteme der Gebäudesicherung verlangt werden. 
  • E-Commerce – Dienstleistungen und Warenlieferungen aufgrund online E-Shops: Kundenmonitoring und Kundensuche, internationale Weiterleitung von personenbezogenen Daten – mit der GDPR-Verordnung werden neue Bedingungen und Regeln eingeführt. Zum Beispiel die Notwendigkeit, sich eine Zustimmung mit Regeln/Kodex bei der Weiterleitung von Daten außerhalb des Territoriums der EU einzuholen.
  • Marketing, Werbung und Erstellung von Nutzerprofilen – automatisierte Erstellung von Nutzerprofilen, Problematik von Verträgen mit Verarbeitern (z.B. Händler – Werbeagentur), Verarbeitung eines breiten Spektrums von personenbezogenen Daten, Problematik der Einholung und des Umfangs der Einholung der Zustimmung vom Subjekt der Daten zu diesen Tätigkeiten.
  • Soziale Medien – Sicherstellung der Datenübertragbarkeit und des Rechts auf Informationen, Kontrolle  über den Umfang von personenbezogenen Daten, Verantwortung des Datenverantowortlichen und des Verarbeiters bei einem Vorfall
  • Forschungs- und wissenschaftliche Institute – sehr gute Position nach der GDPR-Verordnung. Geeignet wäre es jedoch, eine Zusammenfassung der Prozesse mit Hinweisen auf Ausnahmen nach der GDPR-Verordnung und einen guten Schutz von personenbezogenen Daten zu schaffen, wenn diese verarbeitet werden
  • Hotel- und Kurorteinrichtungen – personenbezogene Daten von Gästen, spezielle innenstaatliche Rechtsregelung für Ausländer vs. GDPR-Verordnung betr. Heilbäderdienste, Verarbeitung einer Sonderkategorie von Daten, Transfer von Daten im Rahmen von Hotelnetzen, am besten einen Verhaltenskodex zu bearbeiten (Art. 40 der GDPR-Verordnung)
  • Ausbildungseinrichtungen (auf Interessen-Ausbildung orientierte Betriebe, Schuleinrichtungen), Privat- und Staatsschulen – verarbeiten personenbezogene Daten von Kindern (neu ist es erforderlich, die Zustimmung vom gesetzlichen Vertreter des Kindes einzuholen)

GDPR Team

Advokátní kancelář Kříž a partneři hat für ihre Klienten ein auf den Bereich von Personendatenschutz und die verbundene Rechtsproblematik gerichtetes Rechtsteam formiert. Mitglieder dieses Teams JUDr. Veronika Křížová, LL.M.JUDr. Michal Morawski und Mgr. Tomáš Slabý haben sich auf die im Rahmen der GDPR-Verordnung kommende neue Rechtsregelung langfristig vorbereitet und auch weiterhin verfolgen sie die neueste Entwicklung und Auslegungsstellungnahmen betreffend die Einführung der GDPR-Verordnung in  die Praxis.

Neben der breiten internationalen Zusammenarbeit unserer Rechtsanwaltskanzlei im Bereich IP/IT/Datenschutz besteht eine Mehrwert dieses spezialisierten Rechtsteams auch in einem starken Rechtshintergrund in einem zusammenhängenden Rechtsbereich – im Recht geistigen Eigentums, in dessen Kategorie Advokátní kancelář Kříž a partneři für Jahre 2013, 2015 und 2016 als Rechtskanzlei des Jahres ausgezeichnet wurde.

Ein unbestrittener Vorteil ist auch die pädagogische Tätigkeit einiger Mitarbeiter unserer Anwaltskanzlei auf der Juristischen Fakultät der Karlsuniversität in Prag und die umfangreiche weitere Unterrichts- und Publikationstätigkeit in der Tschechischen Republik sowie im Ausland.   Über die GDPR-Verordnung halten Mitglieder unseres spezialisierten Teams schon seit mehr als einem Jahr Vorträge auf internationalen Konferenzen sowie auf Fachstellen.

Unsere Anwaltskanzlei beschäftigt sich intensiv auch mit der Problematik von  E-Commerce und der rechtlichen Problematik neuer Technologien, und zwar  sowohl in Hinsicht auf Urheberrechte und  Rechte auf industrielles Eigentum, als auch im Bereich von Persönlichkeitsschutz, Medienrecht, Werbung und Marketing, was uns ermöglicht, uns mit Bedürfnissen von Klienten aus diesen Bereichen im Zusammenhang mit der GDPR-Verordnung schnell auszukennen.

Dienste geleistet im Zusammenhang mit der GDPR-Verordnung

Für Klienten im Zusammenhang mit der Datenschutz-Grundverordnung (GDPR) leisten wir umfangreiche Rechtsberatung. Zur Besorgung technischer Lösungen kooperieren wir mit  einer angesehenen IT-Gesellschaft.

GDPR-Grunddienstleistungen:

  • Audits der Verarbeitung personenbezogener Daten und Revisionen aller Prozesse
  • Lösung von Fragen der Rechte betroffener Personen
  • Schulung des Personals
  • Vorbereitung der Verträge mit Beauftragten für den Datenschutz (DPO) und Rechtsberatung im Zusammenhang mit der Einführung dieser Position
  • Komplexlösung in der Form von Bewertung erforderlicher Anpassungen, organisatorischer oder technischer Maßnahmen
  • Vorbereitung interner Richtlinien und Innenvorschriften
  • Rechtsberatung bei der Verarbeitung besonderer Arten personenbezogener Daten (früher als „sensitive Daten“ genannt)
  • Anpassungen der Urkunden wie z.B. Vertragsdokumente,  Zustimmungen und Kommunikationsformulare, Verträge zwischen Datenverantwortlichen und Datenverarbeitern über Verarbeitung personenbezogener Daten
  • Assistenz bei der Lösung des Transfers personenbezogener Daten ins Ausland
  • Bewertung der Risiken der Datenverarbeitung,  Notwendigkeit der Datenschutzfolgenabschätzung  (PIA)
  • regelmäßige Audits und Aktualisierungen der Vorgänge und interner Richtlinien
  • Vertretung bei Streitigkeiten im Zusammenhang mit  GDPR (Verwaltungsverfahren, zivilrechtliche Streitigkeiten)

Kontakt

Für weitere Informationen zusammenhängend mit der GDPR-Verordnung kontaktieren Sie unsere Kanzlei per E-Mail Adresse: veronika.krizova@ak-kp.cz oder per Telefon Nr. +420 224 819 340.