Die neue Allgemeine Verordnung zum Datenschutz: AMS erläutert
Seit 14. April 2016 ist die Algemene Verordening Gegevensbescherming (AVG) in den Niederlanden verabschiedet. Parteien, die personenbezogene Daten verarbeiten, haben nun bis zum 25. Mai 2018 Zeit, um die (neuen) Regeln aus der AVG einzuhalten. Die niederländische Rechtsanwalt Hidde Reitsma erläutert die größten Veränderungen der AVG.
Ab 2018 neue Datenschutzgesetzgebung AVG in den EU
Zum jetzigen Zeitpunkt haben alle Mitgliedsstaaten der Europäischen Union (EU) ein eigenes Datenschutzgesetz, das auf der Europäischen Datenschutzrichtlinie aus dem Jahr 1995 basiert. In den Niederlanden ist dies das Wet bescherming persoonsgegevens (Wbp), im Deutsch das Gesetz über den Schutz von personenbezogenen Daten. Die AVG ist eine Verordnung und findet – anders als die Richtlinie – unmittelbar Anwendung auf alle Mitgliedsstaaten der EU. Ab dem 25. Mai 2018 gilt somit nur noch ein Datenschutzgesetz in der gesamten EU anstelle von verschiedenen nationalen Gesetzen. Bis zu diesem Datum gilt ein Übergangszeitraum, um den neuen Regeln zu entsprechen. Die wichtigsten Fragen und/oder Maßnahmen werden im Folgenden aufgeführt.
Einstellung eines Datenschutzbeauftragten
Die Einstellung eines Datenschutzbeauftragten ist bald nicht mehr unverbindlich, sondern ist in jedem Fall verpflichtend für Organisationen, die bei ihrer Kerntätigkeit besondere personenbezogene Daten verarbeiten oder die personenbezogene Daten in großem Umfang verarbeiten..
Anlage eines internen Registers
Wenn Sie mehr als 250 Mitarbeiter haben oder wenn Sie sensible Daten verarbeiten, müssen Sie ein internes Register anlegen, in dem die verschiedenen Verarbeitungen innerhalb Ihrer Organisation gepflegt werden, inklusive Ziel, Grundlage sowie die getroffenen Sicherheitsmaßnahmen. Dieses Register ersetzt die jetzt noch bestehende Verpflichtung im Datenschutzgesetz, Verarbeitungen bei der Aufsichtsbehörde zu melden.
Datenschutzerklärung bei neuer AVG
Die Datenschutzerklärung muss viel mehr und ausführlichere Informationen enthalten als dies nun verpflichtend ist. Zudem muss die Erklärung in verständlicher Sprache geschrieben werden.
Überarbeitung der heutigen Bearbeitungsvereinbarungen
In den Bearbeitungsvereinbarungen mit den Dienstleistern muss mehr geregelt werden als jetzt vorgeschrieben ist, unter anderem in Bezug auf die Einschaltung Dritter durch die Anbieter sowie die technischen und organisatorischen Sicherheitsmaßnahmen, die der Bearbeiter ergreifen muss.
Neue AVG: Datenschutzfolgenabschätzung
Im Falle von besonders risikoreich beurteilter Verarbeitungen muss bald vorab eine „Datenschutzfolgenabschätzung“ stattfinden und in bestimmten Fällen ist hierfür sogar die vorherige Zustimmung der Autoriteit Persoonsgegevens erforderlich.
AVG: Verpflichtung zur Löschung von Daten Dritter
Es wird eine weitergehende Verpflichtung zur Löschung von Daten eingeführt. Die Verwendung von personenbezogenen Daten zur Profilierung wird zudem strenger reguliert, auch wenn Daten mit anderen Organisationen geteilt werden. Organisationen sind unter der AVG zudem auch verpflichtet, Datenlecks der Autoriteit Persoonsgegevens und Betroffenen zu melden.