Ist dies Ihr erster Besuch auf auctores.de? Dann empfehlen wir Ihnen unsere Website-Tour. Ja, Tour beginnen.  |  Nein, ich navigiere allein.

EU-Datenschutz-Grundverordnung: Übergangsfrist nutzen

Neue Anforderungen, erweiterte Pflichten, härtere Sanktionen


Neue Pflichten zum Datenschutz für Unternehmen - Bild: maxsim/fotolia

Bereits am 25. Mai 2016 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Allerdings existiert eine zweijährige Übergangsfrist für ihre Umsetzung. Vor diesem Horizont haben sich einer repräsentativen Umfrage des Branchenverbands Bitkom zufolge 44 Prozent der Unternehmen in Deutschland noch nicht mit der neuen Vorschrift und ihren Auswirkungen befasst. Wer sie nicht rechtzeitig umsetzt, muss jedoch mit Sanktionen von Datenschutzbehörden und empfindlichen Geldbußen rechnen. Ein Knackpunkt ist die Einwilligung für die Verarbeitung personenbezogener Daten.

Grundsätzlich schreibt die neue Verordnung die bestehende EU-Datenschutzrichtlinie und das davon abgeleitete Bundesdatenschutzgesetz (BDSG) fort. Dennoch raten Experten, die Übergangsfrist bis zum 25. Mai 2018 unbedingt zu nutzen: Auf Unternehmen kommt eine Reihe zusätzlicher Informations- und Dokumentationspflichten zu. Außerdem beinhaltet die DS-GVO neue Vorgaben zur Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) und die Durchführung einer Datenschutz-Folgenabschätzung für die Verarbeitung besonders risikobehafteter Daten. Der Bitkom hat eine FAQ zur Datenschutz-Grundverordnung zusammengestellt.

Hohe Geldbußen – neue Risiken

Erfüllt ein Unternehmen die Vorgaben der DS-GVO nach dem Stichtag nicht, können die Datenschutzbehörden Geldbußen bis zu einer Höhe von 20 Millionen Euro oder von vier Prozent des weltweiten Umsatzes verhängen. Gehört ein Unternehmen zu einer Unternehmensgruppe oder einem Konzern, gilt der Jahresumsatz des gesamten Verbunds als Berechnungsgrundlage. Bestraft werden können auch Unternehmen, die Auftragsdatenverarbeitung für die eigentlich Verantwortlichen durchführen.

Künftig stellt dabei auch ein Verstoß gegen die Pflicht zur Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten eine Ordnungswidrigkeit dar, so das Bayerische Landesamt für Datenschutz in seinen Erläuterungen zu den Sanktionen im Rahmen der Datenschutz-Grundverordnung. Verstößt ein Verantwortlicher gegen die Pflichten zu datenschutzfreundlicher Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen, kann dies ebenfalls zu einer Geldbuße führen.

Aktuell verfügen nur 51 Prozent der von der Bitkom befragten Unternehmen ein Verfahrensverzeichnis, das die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert. Dieses Verfahrensverzeichnis ist zum einen die Arbeitsgrundlage für den betrieblichen Datenschutzbeauftragten. Zum anderen lässt sich mit ihm bei Überprüfungen belegen, dass die Datenschutz-Prozesse im Unternehmen korrekt ablaufen. Eine wichtige Rolle spielt in dieser Hinsicht die neu als zentraler Grundsatz eingeführte erweiterte Rechenschaftspflicht.

Auch wenn viele der befragten Unternehmen die europaweite Vereinheitlichung begrüßen und sich ein Drittel sogar konkrete Geschäftsvorteile erhofft: Die meisten gehen davon aus, dass Datenschutzpraxis und Datenschutzmanagement dadurch nicht nur komplizierter, sondern auch teurer werden. Die DS-GVO regelt künftig:

  • Arbeitnehmerdatenschutz
  • Datenportabilität: Betroffene haben Anspruch auf eine Kopie ihrer verarbeiteten Daten in einem gängigen elektronischen Format
  • One-Stop-Shop: Bei Datenschutz-Beschwerden ist nur noch eine Aufsichtsbehörde zuständig
  • Kopplungsverbot: vertragliche Zusatzleistungen dürfen nicht an die Bereitschaft Betroffener geknüpft werden, der Verarbeitung zusätzlicher Daten zuzustimmen
  • Marktortprinzip: Die DS-GVO gilt weltweit, wenn ein außereuropäisches Unternehmen Daten von EU-Bürgern verarbeitet
  • Nachweispflicht und Unterrichtung: ein effektives Datenschutz-Managementsystem mit strukturierten Prozessen, regelmäßigen Kontrollen und Change-Management wird Pflicht, Betroffene müssen frühzeitig informiert werden
  • Privacy by Design und Privacy by Default: technische (z. B. Default-Einstellungen) und organisatorische Maßnahmen müssen sicherstellen, dass grundsätzlich nur ein Mindestmaß an Daten erhoben und verarbeitet und nicht länger als nötig gespeichert wird
  • Recht auf Vergessenwerden mit erweiterter Löschpflicht: Unternehmen müssen die Voraussetzungen schaffen, gerechtfertigten Löschungsansprüchen schnell nachkommen zu können
  • Transparenzpflicht: Betroffene müssen bereits zu Beginn der Datenerhebung u. a. über Rechtsgrundlagen, Datenkategorien und Widerspruchsmöglichkeiten informiert werden

Als Gremium der deutschen Datenschutzbehörden hat der Düsseldorfer Kreis bereits Empfehlungen für den Umgang mit der DS-GVO verabschiedet. Bei Datenschutzexperten ist allerdings die darin enthaltene Ansicht zur Einwilligung zur Datenverarbeitung umstritten: Sie sehen Unternehmen, die sich daran halten, in eine Haftungsfalle laufen, da unbedingte Vorschriften der neuen Verordnung hier ignoriert würden, etwa der verpflichtende Hinweis auf Widerspruchsmöglichkeiten. Auch sei die Abfrage der Einwilligung kein Ersatz für Versäumnisse bei technischen und organisatorischen Maßnahmen.