EU-DSGVO Konsequenzen für die elektronische Signatur

EU-DSGVO

Konsequenzen für die elektronische Signatur

Quelle:

http://www.industry-of-things.de/konsequenzen-fuer-die-elektronische-signatur-a-633824/?cmp=nl-345&uuid=8FBB01C7-7797-42FB-BF7E-0A0D32D42EC4

http://www.industry-of-things.de/neue-eu-datenschutzregeln-ab-2018-a-569776/

http://www.industry-of-things.de/neue-eu-datenschutzregeln-ab-2018-a-569776/index2.html

 

Der EU-Datenschutz geht in die nächste Runde. Ab Mai 2018 gelten für Unternehmen strenge einheitliche Richtlinien. Die EU-Datenschutzgrundverordnung hat auch Konsequenzen für die elektronische Signatur.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO), im englischsprachigen Raum als General Data Protection Regulation (GDPR) bezeichnet, tritt am 18. Mai 2018 in Kraft. Sie gilt für alle öffentlichen und privaten Unternehmen, die personenbezogene Daten erfassen, verarbeiten und speichern, durch deren Nutzung eine Person direkt oder indirekt identifiziert werden kann. Die neue Verordnung hat massive Auswirkungen auf Unternehmen, die mit elektronischen Signaturen arbeiten.

Das Privatleben und die personenbezogenen Daten eines jeden Bürgers sind geschützt. Das ist ein in der Europäischen Union unveräußerliches Grundrecht und die Basis, auf der die EU-Datenschutzgrundverordnung (EU-DSGVO) steht. Sie soll den Schutz personenbezogener Daten sicherstellen, indem sie vorschreibt, dass solche Daten nur erfasst werden dürfen, wenn

  • die betroffenen Personen eingewilligt haben,
  • sie zuvor darüber aufgeklärt und
  • in Kenntnis gesetzt wurden.

Ein Unternehmen, das solche Daten erfasst, muss jederzeit die Rückverfolgbarkeit der Einwilligungen sowie deren Verarbeitung nachweisen können.

Elektronische Signatur hat die gleichen Rechtswirkungen wie handschriftliche Unterschrift

Die EU-DSGVO setzt die sogenannte elDAS-Verordnung (elektronische Identifizierung und Vertrauensdienste) fort, die seit 1. Juli 2016 in Kraft ist. Ihr Ziel ist es, die Standards für elektronische Signaturen in allen Mitgliedstaaten der Europäischen Union zu vereinheitlichen. Die EU-DSGVO ist der nächste Schritt in diese Richtung. elDAS stellt den digitalen Abschluss von Verträgen und anderen Rechtsgeschäften europaweit auf eine rechtlich und technisch sichere Basis. Dies ist eine institutionelle Anerkennung der elektronischen Signatur, wie sie bislang ohne Beispiel ist. Denn damit hat die elektronische Signatur in der ganzen Europäischen Union denselben Status und dieselben Rechtswirkungen wie eine handschriftliche Unterschrift.

 

Sicherheit durch „Trusted List“

Um die praktische Umsetzung der digitalen Signatur zu unterstützen, hat die Europäische Union eine „Trusted List“ herausgegeben. In dieser Liste sind die in Europa als zuverlässig angesehenen digitalen Signaturlösungen zusammengefasst. Vor Veröffentlichung dieser Liste konnten sich Unternehmen im Hinblick auf die Rechtmäßigkeit ihrer Signaturen auf keinen internationalen Text beziehen. Jetzt können sie das.

 

Neue EU-Datenschutzregeln ab 2018

27.12.16 – Nach vierjähriger Verhandlung wurde im Dezember 2015 die endgültige Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Jetzt bleibt den Unternehmen weniger als zwei Jahre Zeit, sich bis zum Inkrafttreten der Verordnung am 25. Mai 2018 vorzubereiten.

Die große Mehrheit der Verantwortlichen in europäischen Unternehmen (90 Prozent) wünscht sich ein gemeinsames Gesetz zum Schutz personenbezogener Daten. Der Grund dafür liegt auf der Hand: Unterschiedliche staatliche Vorgaben erschweren den grenzüberschreitenden Geschäftsverkehr. So gilt in Spanien die elektronische Signatur bislang nur in Kombination mit einem persönlich ausgestellten Zertifikat auf einem dauerhaften Datenträger (SSCD). Und in Belgien beispielsweise können bestimmte Dokumente nur unter Verwendung des Signaturzertifikats elektronisch signiert werden, dass in den elektronischen Ausweis der belgischen Staatsbürger integriert ist. Für den allerdings wird ein spezifisches Kartenlesegerät benötigt.

Ausdrückliche Einwilligung zwingend erforderlich

Die neue EU-Datenschutzgrundverordnung ersetzt ab 18. Mai 2018 die Datenschutzrichtlinie aus dem Jahr 1995. Die direkte Konsequenz für Deutschland besteht darin, dass Unternehmen künftig verpflichtet sein werden, strengsten Anforderungen für die Nutzung der erfassten personenbezogenen Daten zu entsprechen.

So ist bei jedem neuen Abonnement oder jeder neuen Mitgliedschaft im Zusammenhang mit einem Produkt oder einer Dienstleistung die ausdrückliche und spezifische Einwilligung des Nutzers einzuholen. Und: Die Verarbeitung der Daten darf sich nur auf jene Daten beziehen, die für die korrekte Funktionsweise des Produkts oder Dienstes „notwendig“ sind.

Schließlich hat die neue Verordnung Konsequenzen für den Arbeitsmarkt: Öffentliche Einrichtungen und Unternehmen, die in großem Umfang personenbezogene Daten verarbeiten, sind künftig unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten (Data Protection Officer, DPO) zu ernennen. Dieser soll als rechtmäßiger Vertreter die Einhaltung der DSGVO garantieren.

Es ist davon auszugehen, dass dafür neue Stellen geschaffen werden und Personal eingestellt werden muss. Zumal es in Deutschland zahlreiche Unternehmen gibt, die davon betroffen sein werden.

 

Neuerungen der EU-DSGVO im Überblick

Um den Unklarheiten der vorhergehenden DSR entgegenzuwirken, sind persönliche Daten in der EU-DSGVO klar definiert – ein Novum in der Geschichte des europäischen Datenschutzes.

Nutzerrechte sollen gestärkt werden: Bei den persönlichen Daten macht die EU-DSGVO klar, dass es sich hierbei um mehr als nur offensichtliche Identifizierungsmerkmale handelt. Auch wenn eine Person direkt oder indirekt durch womöglich verwendete Mittel von irgendwem identifiziert werden kann, handelt es sich um persönliche Daten, sogenannte Quasi-Identifizierungsmerkmale. Beispielsweise dann, wenn Geo-Daten erhoben werden, die in Kombination mit anderen Daten die Darstellung eines Bewegungsmusters erlauben.

Darüber hinaus wird das Recht des Nutzers auf Vergessen gestärkt, mit dem es leichter werden soll, einmal über ihn veröffentlichte Informationen vollständig zu löschen.

Datenverarbeitung unterliegt neuen Pflichten: Für Datenverarbeiter einschließlich Cloudanbieter gelten mit der EU-DSGVO neue Verpflichtungen. So müssen Cloudanbieter die Sicherheit von Daten wahren, die ihnen durch einen Datenverantwortlichen übertragen wurden. Die Idee dahinter ist, dass Verbraucher einen Datenverarbeiter nun direkt auf Schäden verklagen können.

 

Mindestalter für die Einwilligung der Datenerhebung: Bei der Festlegung des Mindestalters lässt die EU-DSGVO wie die alte DSR erneut Spielräume. Somit können die Mitgliedsstaaten selbst festlegen, ab welchem Alter Kinder und Jugendliche sich rechtswirksam auf Webseiten anmelden können. In einigen EU-Ländern dürfen Kinder beispielsweise erst ab 16 Jahren ohne Einwilligung der Eltern einen Facebook-Account eröffnen.

 

Ab Mai 2018 gilt das Marktortprinzip: Das neu geschaffene Datenschutzrecht gilt verbindlich für alle Unternehmen, die auf dem europäischen Markt tätig sind. Dabei spielt es keine Rolle, ob sich der Firmensitz innerhalb der EU befindet. Zudem ist es auch unerheblich, wo die Datenverarbeitung stattfindet. Denn jede Verarbeitung personenbezogener Daten von Nutzern aus der EU unterliegt der EU-DSGVO.

 

Verstöße gegen die EU-DSGVO können sehr teuer werden

Mit der EU-DSGVO etabliert die EU ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens bei einer Pflichtverletzung schrumpfen lässt. So kann eine Firma mit einem Bußgeld von bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr belegt werden, sollte sie gegen die Richtlinien der EU-DSGVO verstoßen. Die maximale Geldbuße beträgt 20 Millionen Euro. Die Schwere des Verstoßes ist nach Bemessungskriterien eingeteilt und in Artikel 83 unter anderem definiert nach:

  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Art und Schwere sowie Dauer des Verstoßes
  • Berücksichtigung früherer Verstöße
  • Kategorien personenbezogener Daten

Nach Artikel 55 kann jede Aufsichtsbehörde im Hoheitsgebiet des eigenen Mitgliedsstaates ein Bußgeld bei nachgewiesenen Verstößen verhängen. Diese wiederum können sowohl durch die Überwachungstätigkeiten von Behörden als auch durch Kunden oder Mitarbeiter, die sich bei der Aufsichtsbehörde beschweren, aufgedeckt werden.

Harte Strafen bei Nichtbeachtung

Übrigens: Kann ein Unternehmen die Identität einer Person nicht direkt anhand der erfassten Daten bestimmen, hat es die Möglichkeit, dies von einem vertrauenswürdigen Dritten aus der „Trusted List“ übernehmen zu lassen. Die „Trusted List“ nennt bescheinigungsbefugte Dritte oder Registrierungsbehörden, die als vertrauenswürdige Dritte gelten.

Wichtig: Damit die neue DSGVO schnell umgesetzt wird, geht Brüssel hart vor und sieht Geldstrafen vor, die bis zu vier Prozent vom Jahresumsatz des betroffenen Unternehmens betragen können






Kommentar verfassen

%d Bloggern gefällt das: