Neue EU-Datenschutzregeln ab Mai 2018 – Unternehmen müssen ihr derzeitiges Datenschutzmanagement überprüfen und gegebenenfalls anpassen

Die Schaffung eines einheitlichen Datenschutzrechts für die Europäische Union war das Ziel, auf dessen Verwirklichung vier Jahre lang hingearbeitet wurde. Die Datenschutz-Grundverordnung (DSGVO) ist am 25.Mai 2016 in Kraft getreten und gilt ab dem 25.Mai 2018 in allen EU-Mitgliedstaaten. In Deutschland löst die DSGVO das bis dahin geltende Bundesdatenschutzgesetz (BDSG) ab und ersetzt es vollständig. Auf nationaler Ebene gibt es dann neben der DSGVO lediglich noch ein Umsetzungsgesetz, das in Ergänzung zur DSGVO gilt. Die neue DSGVO enthält eine Vielzahl von Öffnungsklauseln, die zwar einen regulatorischen Rahmen vorgeben, aber die konkrete Umsetzung dem jeweiligen Mitgliedsstaat überlassen. Dies gibt dem nationalen Gesetzgeber die Möglichkeit, einzelne Bereiche völlig neu zu regeln, beispielsweise die Rolle des Datenschutzbeauftragten. Es bleibt abzuwarten, welche Regelungen hier noch getroffen werden.

Das Datenschutzniveau wird mit der DSGVO nicht abgesenkt, sondern an einigen Stellen weiter angehoben. Die neue DSGVO erfordert von Unternehmen einen nicht unerheblichen Mehraufwand. Insbesondere bringt die DSGVO neue Transparenz- und Dokumentationsanforderungen für Verantwortliche der Datenverarbeitung und Auftragsverarbeiter mit sich. So legt beispielsweise Artikel 12 der neuen Verordnung strengere Informationspflichten fest. Eine weitere Neuerung stellt das in Artikel 18 DSGVO geregelte Recht auf Datenportabilität dar. Hieraus entsteht ein Anspruch des Betroffenen, seine im Rahmen einer Einwilligung übertragenen personenbezogenen Daten vom Vertragspartner in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und diese Daten einem anderen Anbieter zu übermitteln. Abhängig vom Ist-Zustand des Datenschutzmanagements, der Komplexität der Datenverarbeitungsvorgänge und der vorhandenen Ressourcen im Unternehmen kann die noch verbleibende Zeit bis zum Inkrafttreten der DSGVO knapp werden.

Verglichen mit anderen Ländern wird sich in Deutschland jedoch nicht alles grundsätzlich ändern. Wichtige Fundamente der Grundverordnung sind dem deutschen Datenschutzrecht nachempfunden. Die Aufsichtsbehörden haben aber bereits jetzt angekündigt, die Einhaltung der Dokumentationspflichten verstärkt prüfen zu wollen.

Der größte Unsicherheits-Faktor - sowohl für Mittelständler als auch für Großkonzerne - ist die im Rahmen der EU-Datenschutzgrundverordnung beschlossene Bußgelderhöhung. Die möglichen Geldbußen seitens der Aufsichtsbehörden wurden drastisch auf bis zu 20 Mio. EUR oder im Fall eines Unternehmens auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres erhöht. Daneben drohen Schadensersatzansprüche von Betroffenen und Verbandsklagen. Nicht zu unterschätzen sind auch Reputationsschäden.

Daher sollte Ziel eines jeden Unternehmens sein, die Risiken zu analysieren und zu minimieren. Um herauszufinden, ob die Vorschriften der DSGVO für das eigene Unternehmen gelten, sollten sich Unternehmen einen Überblick über ihre Datenflüsse verschaffen und prüfen, ob sie personenbezogene Daten verarbeiten. Einen Überblick über die Systematik und die wesentlichen Ziele der Verordnung findet sich in Artikel 5 DSGVO. Die dort beschriebenen Grundsätze werden an vielen Stellen der Verordnung wieder aufgegriffen und durch detaillierte Regelungen konkretisiert.

Die neue DSGVO ist unter folgendem Link zu finden:

https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung