|
<< Click to Display Table of Contents >> DSGVO |
  
|
|
<< Click to Display Table of Contents >> DSGVO |
|
Bosch verpflichtet sich zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO/GDPR), die am 25. Mai 2018 in Kraft tritt (für weitere Ausführungen: http://www.eugdpr.org/).
Die Websites von Bosch enthalten deshalb Funktionen im Sinne der GSGVO.
Die GSGVO schreibt in allen Mitgliedsstaaten die Einführung einer Anzeigepflicht bei Verstößen gegen die Datensicherheit vor, wenn ein solcher Verstoß "ein Risiko für die Rechte und Freiheiten der betroffenen Personen" darstellen kann. Eine solche Anzeige muss innerhalb von 72 Stunden nach Erlangung der Kenntnis eines Verstoßes erfolgen. Datenverarbeiter werden außerdem dazu verpflichtet, ihre Kunden, die für die Verarbeitung Verantwortlichen, "unverzüglich" nach Bekanntwerden eines Verstoßes gegen die Datensicherheit zu informieren.
Zu den erweiterten Rechten der betroffenen Personen im Sinne der DSGVO gehört das Recht, bei dem für die Verarbeitung Verantwortlichen Auskunft darüber zu erhalten, ob personenbezogene Daten über sie verarbeitet werden, und wo und für welchen Zweck diese bearbeitet werden. Außerdem ist der für die Verarbeitung Verantwortliche verpflichtet, eine Kopie der persönlichen Daten in elektronischer Form kostenlos zur Verfügung zu stellen. Diese Änderung stellt für betroffene Personen einen wesentlichen Schritt in Richtung Datentransparenz und informationeller Selbstbestimmung dar.
Dieses Recht, auch als Datenlöschung bezeichnet, ermöglicht betroffenen Personen, vom für die Verarbeitung Verantwortlichen ihre eigenen Daten löschen zu lassen, die weitere Verbreitung der eigenen Daten einzustellen und möglicherweise die Verarbeitung der Daten durch Dritte einzustellen. Die Bedingungen für eine Datenlöschung gemäß Artikel 17sehen u. a. vor, dass die Daten nicht länger relevant sind für den ursprünglichen Zweck ihrer Verarbeitung, oder dass betroffene Personen ihre Zustimmung widerrufen haben. In diesem Zusammenhang muss beachtet werden, dass dieses Recht vom für die Verarbeitung Verantwortlichen verlangt, das Recht der betroffenen Personen gegenüber dem "öffentlichen Interesse an der Verfügbarkeit von Daten" abzuwägen.
Mit der DSGVO wird nun auch die Übertragbarkeit von Daten geregelt - dem Recht der betroffenen Personen, eigene persönliche Daten zurückzufordern, die sie zuvor in einem 'üblichen und maschinenlesbaren Format' überlassen haben, und diese an einen anderen für die Verarbeitung Verantwortlichen zu übertragen.
Das Konzept des "eingebauten Datenschutzes" gibt es schon seit einigen Jahren, es ist aber erst jetzt und im Rahmen der DSGVO eine gesetzliche Anforderung geworden. "Eingebauter Datenschutz" bedeutet im Grunde, dass die Belange des Datenschutzes bereits bei der Entwicklung eines Systems berücksichtigt werden müssen und mehr sind als nur eine Zusatzfunktion. Dazu heißt es in der Verordnung, dass "der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen (...) auf effektive Weise durchführen muss (...), um die Anforderungen dieser Vorschrift zu erfüllen und den Schutz der Daten der betroffenen Personen zu gewährleisten". Artikel 23 verlangt von den für die Verarbeitung Verantwortlichen, nur diese Daten zu behalten und zu verarbeiten, die zur Erfüllung der Aufgaben erforderlich sind (Datenminimierung), sowie den Zugang zu den persönlichen Daten auf diejenigen zu beschränken, die diese Daten verarbeiten.
Aktuell sind für die Verarbeitung Verantwortliche verpflichtet, ihre Datenverarbeitungstätigkeiten ihrer örtlichen Datenschutzbehörde mitzuteilen, was bei länderübergreifend tätigen Organisationen einen ungeheuren bürokratischen Aufwand bedeutet, da in den meisten Mitgliedsstaaten unterschiedliche Anforderungen für die Benachrichtigungen gelten. Innerhalb des Geltungsbereichs der DSGVO wird es nicht erforderlich sein, Datenverarbeitungstätigkeiten den einzelnen lokalen Datenschutzbehörden mitzuteilen bzw. bei diesen zu registrieren. Außerdem wird es nicht erforderlich sein, Datenübertragungen auf der Grundlage von Modell-Vertragsklauseln mitzuteilen bzw. die Genehmigung dafür einzuholen. Anstatt dessen gelten Anforderungen für das nachfolgend erläuterte interne Aufzeichnen. Außerdem wird die Benennung von Datenschutzbeauftragten nur für solche für die Verarbeitung Verantwortliche und Verarbeiter vorgeschrieben, zu deren Kerntätigkeiten das Verarbeiten von Operationen gehören, die die regelmäßige und systematische Überwachung von betroffenen Personen im großen Umfang oder für spezielle Datenkategorien oder Daten im Zusammenhang mit Straftaten oder strafrechtlichen Verurteilungen betreffen. Für Datenschutzbeauftrage gelten v. a. folgende Anforderungen:
•Ihre Benennung erfolgt anhand der fachlichen Eignung, insbesondere anhand der Sachkenntnis im Bereich der Gesetze und Praktiken zum Datenschutz
•Datenschutzbeauftrage können festangestellte Mitarbeiter oder externe Dienstleister sein
•Die Kontaktdaten müssen der jeweiligen Datenschutzbehörde mitgeteilt werden
•Datenschutzbeauftragte müssen mit den geeigneten Mitteln ausgestattet werden, die zur Erfüllung der Aufgaben sowie zur Aufrechterhaltung des Fachwissens erforderlich sind
•Datenschutzbeauftragte müssen direkt an die höchste Ebene der Geschäftsführung berichten
•Datenschutzbeauftragte dürfen keine weiteren Tätigkeiten ausüben, die zu einem Interessenskonflikt führen können