Datenschutzgrundverordnung (DSGVO) der EU

Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) der EU in Kraft. Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) soll das Datenschutzrecht innerhalb Europas vereinheitlicht werden, um dem Einzelnen mehr Kontrolle über seine Daten zu verschaffen. Entsprechend gelten künftig in allen EU-Staaten die gleichen Standards in Sachen Datenschutz – datenschutzrechtliche „Rückzugsräume“ innerhalb Europas wird es damit nicht mehr geben.

Gelten sollen die neuen Regeln nicht nur für in Europa ansässige Unternehmen. Auch US-Firmen müssen sich fortan an die europäischen Vorgaben im Datenschutz halten, wollen sie ihre Dienste auch auf dem europäischen Markt anbieten. Das bislang immer gern vorgebrachte Argument, man sei nur an die US-amerikanischen Vorgaben gebunden, kann dann nicht mehr gelten.

Personenbezogene Daten

Die Vorschrift regelt den Umgang von Unternehmen mit personenbezogenen Daten und stärkt die individuellen Nutzerrechte der Verbraucher.

Nutzer sollen in Zukunft leichter Auskunft zu den von ihnen gespeicherten Daten bekommen, um zu erfahren, welche Daten gesammelt, verarbeitet und gespeichert werden.

Hohe Strafen

Die DSGVO bringt für fast alle Selbstständigen, Geschäftsführer und Freiberufler Neuerungen mit sich. Insbesondere verlagern sich in vielen Fällen Haftungsrisiken und die Strafandrohungen steigen extrem. Bisher lag die Höchststrafe für Verstöße gegen das Datenschutzrecht bei 300.000 € und bis zu 2 Jahren Freiheitsstrafe. Ab 25. Mai 2018 steigt die monetäre Bußgeldandrohung auf bis zu 20.000.000 € oder, bei Konzernen, auf bis zu 4% vom weltweiten Jahresumsatz.

 

Was hat sich genau geändert?

  • Die DSGVO ist „hartes Compliance-Recht“. Die Nichteinhaltung kann u. U. zur persönlichen Haftung von vertretungsberechtigten Personen von Kapitalgesellschaften führen. Auf die Einhaltung des Datenschutzes zu achten, ist explizit  Aufgabe der Geschäftsführung bzw. des Unternehmers!
  • Neu ist z. B. die sog. Rechenschaftspflicht („Accountability-Prinzip“), die sich aus Art. 2 DSGVO ergibt. Hieraus ergibt sich, dass die Einhaltung der Vorgaben der DSGVO vom Unternehmen nachgewiesen werden können muss. Hieraus lässt sich ableiten, dass Unternehmen und deren Vertretungsberechtigte, aber auch Personengesellschaften, zur Minimierung des zivilrechtlichen Haftungsrisikos und zur Vermeidung drohender Geldbußen unbedingt ein geeignetes Managementsystem (ISMS oder DSMS) einführen sollten.
  • Künftig werden bei risikoreichen Datenverarbeitungen vorgelagerte Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) durchgeführt werden müssen (bisher nur Vorabkontrolle)
  • Es gibt verschärfte Meldepflichten bei Datenpannen
  • Wesentlich verschärfte Informationspflichten gegenüber Betroffenen: Datenschutzhinweise in Formularen, Internetseiten etc. müssen überarbeitet werden.

Datensicherheits- und Datenschutzmanagementsysteme

Das Vorhalten eines standardisierten Datensicherheits- und Datenschutzmanagementsystems kann wesentlich dazu beitragen, dass der haftungsrelevante Vorwurf der (einfachen und groben) Fahrlässigkeit besser ausgeschlossen werden kann. Eine Zertifizierung ist nicht zwingend erforderlich, eine Orientierung an DIN 27001, BSI-Standarddatenschutzmodell, VdS-3473* o.ä. ist aber sinnvoll.

Ein solches Datenschutzmanagementsystem (DSMS) oder Informationssicherheitsmanagementsystem (ISMS) einzuführen bedeutet i. d. R. für Unternehmen, die bisher in diesem Bereich noch nicht gut aufgestellt sind, einen erheblichen Aufwand.

Man kommt aber nicht daran vorbei. Die Einführung sollte als Chance zur Selbstüberprüfung begriffen werden. Hierbei werden alle sicherheitsrelevanten Prozesse aufgenommen, überprüft, strukturiert, standardisiert und, falls erforderlich, auch neue Prozesse eingeführt.

Damit schützt man das Unternehmen, seine Mitarbeiter/innen, seine Kunden und seine wertvollen Daten vor Schaden und Gefahren.

Wer ist zukünftig verpflichtet, einen DSB zu benennen?

Das regeln die Artikel 37 ff, der DSGVO bzw. § 38 Abs. 1 des BDSG-neu.

  • Unternehmen die mindestens 10 Personen beschäftigen, die ständig personenbezogene Daten automatisiert verarbeiten
  • Unternehmen, die eine Verarbeitung von personenbezogenen Daten vornehmen, die einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO unterliegen (unabhängig von der Beschäftigtenzahl)
  • Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeiten (unabhängig von der Beschäftigtenzahl)

Spannend wird es aber auch für manche Berufsgruppen, die bisher von dieser Regelung ausgenommen waren z. B. Ärzte, Anwälte, Steuerberater, Finanzberater kamen bisher in den Genuss einer Ausnahmeregelung. Diese Ausnahmeregelung ist aber nicht mehr in die neuen Gesetze aufgenommen worden. Somit müssen sie, sobald sie auch nur einen einzigen Mitarbeiter bei sich beschäftigen, einen Datenschutzbeauftragten benennen.

Weitere Punkte zur Umsetzung

  • Die Datenschutzerklärung muss leicht verständlich und übersichtlich sein
  • Die AGB müssen leicht verständlich und übersichtlich sein (das ist im B2C-Geschäft besonders wichtig)
  • Datenschutzbeauftragter muss auf Internetseite bekannt gemacht werden und es muss direkte Kontaktmöglichkeiten zu ihm geben.

Bei Fragen rund um das Thema DSGVO wenden Sie sich gerne an unsere Datenschutzbeauftragten, alle Informationen sowie Vorlagen zur Durchführung finden Sie unter https://www.activemind.de/.

Bei technischen oder allgemeinen Fragen diesbezüglich können Sie sich außerdem an unseren Geschäftsführer Herrn Dennis Schmidt wenden.