General Data Protection Regulation /GDPR

Ab dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung („DSGVO“) EU-weit unmittelbar und vorrangig gegenüber nationalem Recht. Gleichzeitig gilt das neue (deutsche) Bundesdatenschutzgesetz (BDSG), welches die Anforderungen der DSGVO konkretisiert. Bis zu diesem Zeitpunkt haben Unternehmen noch Zeit, sich auf die neuen Bestimmungen einzustellen. Datenschutzbehörden dürfen erst danach Sanktionen verhängen.

1. Ziele und Anwen¬dungs¬be¬reich der DSGVO

Ziel der DSGVO ist es, in der gesamten EU ein einheitliches Datenschutzniveau zu schaffen. Bislang hatte jeder Mitgliedsstaat seine eigenen Datenschutzregelungen, die nur zum Teil auf EU-Recht beruhten. Da die Digitalisierung vor Landesgrenzen jedoch nicht Halt macht, soll die DSGVO diesen Zustand beheben und vor allem einheitliche Regelungen und Wettbewerbsbedingungen für die Datenverarbeitung gewährleisten. Hervorzuheben ist, dass die DSGVO nicht nur für datenverarbeitende Stellen mit Sitz in der EU gilt, sondern auch für solche ohne Sitz in der EU, die sich an betroffene Personen in der EU richten.

Die DSGVO schützt personenbezogene Daten. Dazu gehören sämtliche Daten, anhand derer man eine natürliche Person („betroffene Person“) identifizieren kann. Die DSGVO richtet sich an öffentliche Stellen wie auch an alle natürlichen und juristischen Personen („Verantwortliche“ und „Auftragsverarbeiter“), die personenbezogene Daten verarbeiten. „Verarbeitung“ ist bei-spielsweise das Erheben, Erfassen, die Organisation, Speicherung, Veränderung, Verwendung, Übermittlung, und auch die Löschung von Daten – kurz gesagt jeder Vorgang, der personenbezogene Daten betrifft. Jedes Unternehmen hat eine Vielzahl solcher Daten wie z.B. Mitarbeiter- und Kundendaten, aber auch Lieferanten und Geschäftskontakte enthalten oft einen Personenbezug.

2. Neue Dokumentationspflichten für Unternehmen

Die DSGVO bestimmt zahlreiche konkrete Pflichten, die Unternehmen erfüllen müssen. Diese Aufgaben und Verantwortlichkeiten entsprechen teilweise den bisherigen Regelungen des deutschen Bundesdatenschutzgesetzes, sind aber in weiten Teilen anders bzw. neu.

Verantwortliche, also z. B. die Unternehmen, sind nunmehr für die Einhaltung dieser Datenschutzvorgaben rechenschaftspflichtig, müssen also deren Einhaltung nachweisen. Sie müssen zwingend ihre Prozesse so einrichten und dokumentieren, dass den Datenschutzbehörden die datenschutzkonforme Datenverarbeitung von personenbezogenen Daten nachgewiesen werden kann.

3. Handlungsbedarf für Unternehmen

Der Handlungsbedarf ist für jedes Unternehmen individuell zu ermitteln. Folgende Themen sind jedoch in jedem Falle zu untersuchen bzw. zu bearbeiten:

  • Verarbeitungsverzeichnis anpassen bzw. erstellen; dieses Verzeichnis beinhaltet insbesondere die Art der im Unternehmen verarbeiteten personenbezogenen Daten (z.B. Namen, Anschriften, E-Mail Adressen, Standortdaten, Gesundheitsdaten), zu welchem Zweck sie verarbeitet, wem sie offengelegt und wann sie gelöscht werden.
  • Verträge zur Auftragsverarbeitung (mit Dienstleistern) anpassen bzw. abschließen (Auftragsverarbeiter sind Personen, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeiten, z.B. der IT-Dienstleister eines Unternehmens),
  • technische und organisatorische Maßnahmen anpassen bzw. einrichten und dokumentieren (insbesondere Verschlüsselung personenbezogener Daten, Datensicherung etc.)
  • Unterrichtung und Verpflichtung von Beschäftigten eines Unternehmens auf Beachtung der DSGVO
  • Informationen für Betroffene bereitstellen bzw. anpassen (z.B. Datenschutzvereinbarungen mit dem Kunden und Datenschutzerklärungen auf der Internetseite),
  • interne Prozesse einrichten, um die betroffenen Rechte erfüllen zu können,
  • interne Prozesse für Meldungen von Datenschutzverstößen einrichten,
  • Datenschutzbeauftragten bestellen (ab 10 Personen erforderlich),
  • Datenschutz-Folgeabschätzungen durchführen,
  • Mitarbeiter schulen.

4. Sanktionen/erhöhte Bußgelder

Im Verhältnis zur bisherigen Rechtslage sind die Sanktionsmöglichkeiten für Datenschutzverstöße erheblich erweitert worden. So können bzw. müssen die Datenschutzbehörden „wirksame, verhältnismäßige und abschreckende“ Geldbußen verhängen. Die DSGVO sieht hierfür Bu߬gelder von bis zu 20 Mio. Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw. des Konzernverbundes vor.

5. Fazit

Unternehmen sollten nicht nur, sondern müssen ihre Datenverarbeitungsprozesse zwingend an der DSGVO und dem neuen BDSG ausrichten. Gelingt das nicht, ist ab dem 25.5.2018 nicht nur mit hohen Geldbußen zu rechnen, sondern es können auch Imageschäden in einer deutlich sensibilisierten Öffentlichkeit drohen.

Eile ist daher geboten! Sprechen Sie uns bitte an. Wir beraten Sie gern.