DatenschutzWas ändert sich mit der EU-Datenschutz-Grundverordnung?

Die EU-Datenschutz-Grundverordnung (DS-GVO) trat am 25. Mai 2016 in Kraft und gilt ab 25. Mai 2018. Was verändert sich? Welche Herausforderungen bringt die DS-GVO für Unternehmen?

Betroffen von den Änderungen sind alle Unternehmen, Institute, Kanzleien, Vereine und Betriebe. Es ist ratsam, zeitnah zu prüfen, welche Änderungen relevant sind, wo Anpassungsbedarf besteht sowie welche Ressourcen notwendig werden, gesetzeskonform zu sein.

Regelung mit Durchgriffswirkung

Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das Hauptanliegen der neuen Datenschutz-Grundverordnung. Entsprechend heißt es in Art. 91:

„… Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat“.

Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung verfügt die Datenschutz-Grundverordung über eine sogenannte Durchgriffswirkung. Diese grundsätzliche Vollharmonisierung ersetzt nationales Datenschutzrecht.

Öffnungsklauseln für nationale Umsetzung

Bis zum 25. Mai 2018 haben die einzelnen Länder Zeit, die Datenschutz-Grundverordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen gibt es Öffnungsklauseln für den nationalen Gesetzgeber, die es vor Inkrafttreten der DS-GVO zu regeln gilt. Die Liste reicht von Gesundheit und Forschung über den Arbeitnehmerdatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des zukünftigen EU-Datenschutzrechts für Unternehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen, zählt dazu.

Deutschland hat von den Öffnungsklauseln bereits umfassend Gebrauch gemacht. Am 05. Juli 2017 wurde im Amtsblatt das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung und zur Umsetzung der Richtlinie (EU) veröffentlicht. Das sogenannte Bundesdatenschutzgesetz-neu (BDSG-neu) tritt am 25. Mai 2018 in Kraft und enthält unter anderem Regelungen zur Videoüberwachung, zur Benennpflicht des Datenschutzbeauftragten, zum Beschäftigtendatenschutz und zur konkreten Umsetzung von Sanktionen nach der DS-GVO.

Was ändert sich mit dem neuen Recht?

Hohe Bußgelder als Sanktion in der Datenschutz-Grundverordnung

Die künftigen Sanktionen sollen „wirksam und abschreckend“ sein. Halten sich Unternehmen nicht an die neuen Vorgaben, drohen hohe Geldbußen. Zum Beispiel:

  • Bei Verstößen gegen Organisationsregeln bis zu 2 Prozent des weltweiten Vorjahresumsatzes oder bis zu 10 Millionen Euro, je nachdem welche Summe höher ist.
  • Bei Verstößen gegen Zulässigkeit und Rechte der betroffenen Person sollen zukünftig Bußgelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes verhängt werden, je nachdem welche Summe höher ist.

Benennpflicht und Aufgaben des betrieblichen Datenschutzbeauftragten

Eine Benennpflicht besteht künftig EU-weit, wenn die Bedingungen gemäß Art. 37 DS-GVO gegeben sind. Eine Öffnungsklausel ermöglicht es den Mitgliedstaaten dies national zu regeln. Deutschland hat von dieser Möglichkeit Gebrauch gemacht und die Benennpflicht aus dem BDSG in das BDSG-neu übernommen. § 38 Abs. 1 BDSG-neu regelt:

„Ein Verantwortlicher und der Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Zu den bisherigen Aufgaben des Datenschutzbeauftragten – Sicherstellungs- und Hinwirkungsauftrag – kommt ein Überwachungs- und Kontrollauftrag hinzu.

Nachweispflicht wirksamer Datenschutzrichtlinien

Unternehmen und Betriebe müssen, wie bisher auch, wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Prozessen, Kontrollen und Change Management wird notwendig.

Die Rechenschaftspflicht (Accountability-Prinzip) besagt: Unternehmen müssen die Grundsätze wie Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Löschung, Integrität und Vertraulichkeit belegbar nachweisen. Des Weiteren müssen Unternehmen betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder.

Pflicht zur Datenschutz-Folgenabschätzung

§ 4d BDSG regelt die Pflicht zur Datenschutz-Folgenabschätzung bereits. Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten sollen so Grundrechtsverletzungen verhindert werden.

Die sechs Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit werden nicht nur aus der Betriebsperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um die Organisation selbst, die Daten verarbeitet und als Risiko betrachtet. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen und dokumentieren.

Stärkung der Rechte betroffener Personen

Beim Datenschutz werden nicht Daten, sondern vielmehr alle Personen geschützt, die diese Daten „verursachen“. Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde beziehungsweise macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die DS-GVO insbesondere die Rechte der betroffenen Personen stärkt.

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen. Auch der Empfänger, an den Daten weitergegeben wurden, muss über eine Löschung informiert werden.

Datenportabilität

Die Datenportabilität begründet den Anspruch betroffener Personen auf eine Kopie verarbeiteter Daten. Die Übergabe muss in einem gängigen, strukturierten und maschinenlesbaren Format erfolgen. Für Praxen wird die Umsetzung dieser Regelung aufwändig und auch teuer werden. Die Datenportabilität gilt auch, wenn beispielsweise ein Arbeitsverhältnis endet.

Privacy by Design und Privacy by Default

Unternehmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten: Zum Beispiel sollen von vornherein nur so viele personenbezogene Daten gesammelt und verarbeitet werden, wie es zur Erreichung des Zwecks konkret notwendig ist. Insbesondere die Grundsätze „Datenschutz durch Technik“ (data protection by design) und „datenschutzfreundliche Voreinstellungen“ (data protection by default) müssen dabei berücksichtigt werden. Das heißt unter anderem, dass Unternehmen vor Übergabe von PC und Smartphone an Mitarbeiter entsprechende Voreinstellungen vornehmen müssen.

Unternehmen und Betriebe sind gut beraten, sich jetzt auf das Gültigwerden der Datenschutz-Grundverordnung vorzubereiten.

Diese Vorbereitungen zur Datenschutz-Grundverordnung sollten Unternehmen treffen

  • Prüfen, welche Systeme im Unternehmen von der neuen Gesetzgebung betroffen sind.
  • Prüfen des bestehendes Datenschutzmanagement-Systems auf Gesetzeskonformität: Wo steht das Unternehmen jetzt? Was ist wann zu tun, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden?
  • Risiko-Analyse durchführen: Welche Risiken und Gefährdungen drohen?
  • Ressourcen planen: Interne Situation prüfen und rechtzeitig externe Unterstützung ins Boot holen.
  • Plan zur Transformation auf die Datenschutz-Grundverordnung erstellen.
  • Überlegen, wie und mit welchen Mitteln die umfassenden Rechenschafts- und Dokumentationspflichten zukünftig gewährleistet werden können.
  • Umsetzungskosten ins Budget aufnehmen.

Dazu im Management-Handbuch

Ähnliche Artikel

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Mehr erfahren
OK