Änderungen auf einen Blick
Rechenschaftspflichten werden verstärkt durch gesetzliche Pflicht zur Dokumentation:
Der Verantwortliche ist für die Einhaltung der Grundsätze der personenbezogenen Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“), Art. 5 Abs. 2.
Der Verantwortliche setzt … geeignete … Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert, Art. 24 I.
Verarbeitungsverzeichnis, Art. 30 (als Konkretisierung der Informations- und Rechenschaftspflicht):
Das Verarbeitungsverzeichnis ersetzt das Verfahrensverzeichnis nach § 4g BDSG, das vom Verantwortlichen beim Datenschutzbeauftragten zu hinterlegen war. Außerdem entfallen die Meldepflichten nach § 4d, 4e BDSG.
Jeder Verantwortliche und ggf. sein Vertreter führen statt dessen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, welches den Namen und die Kontaktdaten des Verantwortlichen, den / die Zwecke der Verarbeitung, eine Beschreibung der betroffenen Kategorien, betroffener Personen und Daten, Kategorien von Empfängern, Löschungsfristen und Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen enthält.
Der Auftragsverarbeiter und sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung.
Es besteht ein Schriftformerfordernis, Art. 30 Abs. 3.
Datenschutzfolgeabschätzung, Art. 35 (ersetzt die bisherige Vorabkontrolle nach BDSG):
Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen durch die Datenverarbeitung führt der Verantwortliche (obligatorisch) eine Abschätzung der Folgen der beabsichtigen Verarbeitung durch.
72-Stunden-Frist zur Erfüllung der Meldepflicht bei Verstößen, Art. 33 DSGVO:
Der Verantwortliche muss Verstöße an die Aufsichtsbehörde melden und zwar unverzüglich, möglichst binnen 72 Stunden (3 Tage), wobei die Meldung die inhaltlichen Informationen nach Art. 33 Abs. 3 DSGVO enthalten muss. Außerdem muss der Verantwortlich unverzüglich die betroffene Person über den Verstoß benachrichtigen, Art. 34 DSGVO.
Erweiterung der Rechte der betroffenen Personen:
Informations- und Auskunftspflichten (Art. 13 DSGVO) gegenüber der betroffenen Person insbesondere über Zweck und Rechtsgrundlage der Datenverarbeitung, Speicherdauer, Beschwerderecht bei einer Aufsichtsbehörde.
Recht auf Vergessen, Art. 17 Abs. 1e DSGVO
Anspruch des Betroffenen und Verpflichtung des Verantwortlichen zur Löschung, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Recht auf Mitnahme der Daten, Art. 20 DSGVO in Form eines maschinenlesbaren Formats, wenn, Datenverarbeitung auf Einwilligung oder Vertrag beruht und Verarbeitung mittels automatisierter Verfahren erfolgt.
Höhere Bußgelder als Sanktion bei Verstößen:
Bis zu 10 Mio. € oder bis zu 2 % des Jahresumsatzes, wenn dieser höher ist, Art. 83 Abs. 4 BSGVO (z. B. bei Pflichtverletzungen bzgl. Verarbeitungsverzeichnis (Art. 30), der Datenschutzfolgeabschätzung (Art. 35) und der Meldepflicht bei Verstößen (Art. 33).
Bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes, wenn dieser höher ist, Art. 83 Abs. 5 DSGVO (z. B. bei Verstößen gegen die Grundsätze die Dokumentationspflicht, Art. 5 DSGVO oder gegen die Rechte der Betroffenen, Art. 13, 17 und 20 DSGVO).
Die Behörde hat nur noch ein Ermessen zur Höhe eines Bußgeldes, nicht aber, „ob“ ein Bußgeld verhängt wird.
Der Verantwortliche und nicht die Aufsichtsbehörde muss nachweisen, dass der Verstoß weder vorsätzlich noch fahrlässig passiert ist, also eineUmkehr der Beweislast für Bußgelder!