Seit 14. April 2016 ist die Algemene Verordening Gegevensbescherming (AVG) in den Niederlanden verabschiedet. Parteien, die personenbezogene Daten verarbeiten, haben nun bis zum 25. Mai 2018 Zeit, um die (neuen) Regeln aus der AVG einzuhalten. Die niederländische Rechtsanwalt Hidde Reitsma erläutert die größten Veränderungen der AVG.
Zum jetzigen Zeitpunkt haben alle Mitgliedsstaaten der Europäischen Union (EU) ein eigenes Datenschutzgesetz, das auf der Europäischen Datenschutzrichtlinie aus dem Jahr 1995 basiert. In den Niederlanden ist dies das Wet bescherming persoonsgegevens (Wbp), im Deutsch das Gesetz über den Schutz von personenbezogenen Daten. Die AVG ist eine Verordnung und findet – anders als die Richtlinie – unmittelbar Anwendung auf alle Mitgliedsstaaten der EU. Ab dem 25. Mai 2018 gilt somit nur noch ein Datenschutzgesetz in der gesamten EU anstelle von verschiedenen nationalen Gesetzen. Bis zu diesem Datum gilt ein Übergangszeitraum, um den neuen Regeln zu entsprechen. Die wichtigsten Fragen und/oder Maßnahmen werden im Folgenden aufgeführt.
Die Einstellung eines Datenschutzbeauftragten ist bald nicht mehr unverbindlich, sondern ist in jedem Fall verpflichtend für Organisationen, die bei ihrer Kerntätigkeit besondere personenbezogene Daten verarbeiten oder die personenbezogene Daten in großem Umfang verarbeiten..
Wenn Sie mehr als 250 Mitarbeiter haben oder wenn Sie sensible Daten verarbeiten, müssen Sie ein internes Register anlegen, in dem die verschiedenen Verarbeitungen innerhalb Ihrer Organisation gepflegt werden, inklusive Ziel, Grundlage sowie die getroffenen Sicherheitsmaßnahmen. Dieses Register ersetzt die jetzt noch bestehende Verpflichtung im Datenschutzgesetz, Verarbeitungen bei der Aufsichtsbehörde zu melden.
Die Datenschutzerklärung muss viel mehr und ausführlichere Informationen enthalten als dies nun verpflichtend ist. Zudem muss die Erklärung in verständlicher Sprache geschrieben werden.
In den Bearbeitungsvereinbarungen mit den Dienstleistern muss mehr geregelt werden als jetzt vorgeschrieben ist, unter anderem in Bezug auf die Einschaltung Dritter durch die Anbieter sowie die technischen und organisatorischen Sicherheitsmaßnahmen, die der Bearbeiter ergreifen muss.
Im Falle von besonders risikoreich beurteilter Verarbeitungen muss bald vorab eine „Datenschutzfolgenabschätzung“ stattfinden und in bestimmten Fällen ist hierfür sogar die vorherige Zustimmung der Autoriteit Persoonsgegevens erforderlich.
Es wird eine weitergehende Verpflichtung zur Löschung von Daten eingeführt. Die Verwendung von personenbezogenen Daten zur Profilierung wird zudem strenger reguliert, auch wenn Daten mit anderen Organisationen geteilt werden. Organisationen sind unter der AVG zudem auch verpflichtet, Datenlecks der Autoriteit Persoonsgegevens und Betroffenen zu melden.