• DSGVO LUTOP Data Compliance GmbH

EU-Datenschutzgrundverordnung DSGVO

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden.

Betroffen sind alle Unternehmen sowie alle Unternehmen der digitalen Wirtschaft, nicht nur solche, zu deren Geschäftsmodell die Erfassung und Verarbeitung von (personenbezogenen) Daten gehört.

Einige der Neuigkeiten sind grundlegender Natur und können sogar Geschäftsmodelle in Frage stellen. Siemüssen von den Unternehmen daher bereits jetzt adressiert werden, um eine rechtzeitige Anpassung der Geschäftsprozesse und ggf. -modelle bis zum Inkrafttreten des neuen Rechts 2018 sicher zu stellen.

Was ändert sich durch die DSGVO?

Die EU Kommission möchte den Datenschutz ihrer Mitgliedstaaten harmonisieren. Grundlage der europaweiten Datenschutzreform bildet die Datenschutzgrundverordnung (DSGVO). Als Richtlinie gibt sie das künftige Datenschutzrecht vor. Die EU räumt ihren Mitgliedstaaten das Recht ein, ergänzende nationale Regelungen zu treffen. Unternehmen mit Sitz in Deutschland dürften allerdings keine große Veränderung in Bezug auf die bisherige Bestellpflicht eines Datenschutzbeauftragten zu erwarten haben.

  • Sanktionen: Der Gesetzgeber meint es ernst mit dem Datenschutz und ist denkbar ganz weit weg, Verstöße als Kavaliersdelikt durchgehen zu lassen. Bei Verstößen dagegen drohen bis zu 20 Mio. Euro oder zwei bis vier Prozent des weltweiten Vorjahresumsatzes des Unternehmens.
  • Datenschutzbeauftragte: Nach der DSGVO gehört die „Zusammenarbeit mit den Aufsichtsbehörde“ zu den Aufgaben des Datenschutzbeauftragten (DSB). Zudem können Kunden, Beschäftigte und andere „betroffene Persone" den DSB zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechts im Zusammenhang stehenden Fragen zu Rate ziehen“ (Art. 38 Abs 4 DSGVO). Damit wird der DSB zur Anlaufstelle für die Aufsichtsbehörden. Der sog. Düsseldorfer Kreis hat hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für den DSB beschlossen.
  • Meldepflichten: Unternehmen müssen Datenschutzvorfälle binnen 72 Stunden den Aufsichtsbehörden melden.
  • Datenschutz-Folgeabschätzung: Es muss eine Risikobewertung erfolgen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben.
  • Auskunftsrecht: Die Betroffenen haben ein umfassendes Auskunftsrecht. Dieses Recht bedeutet allerdings, dass die IT-Systeme und die Verarbeitungsprozesse sehr genau festgelegt sind.
  • Recht auf Datenübertragbarkeit (Datenportabilität): Der Betroffene kann seine Daten „mitnehmen“.
  • Nachweis-Zertifizierung: Künftig besteht explizit die Möglichkeit, die Erfüllung der gesetzlichen Pflichten durch Zertifizierungen nachzuweisen.
  • Sicherheit der Verarbeitung: Es müssen grundlegende technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen getroffen werden (Stichwort: Stand der Technik).
  • Werbung: Dies wird spannend dann im Zusammenwirken mit der neuen ePrivacy-Verordnung.
  • Rechenschaftspflicht: Wenn Ihr Unternehmen angezeigt wird, sind Sie nur dann „aus dem Schneider“, wenn Sie nachweisen können, dass Sie ein ordnungsgemäßes Datenschutz-System installiert haben. Sie müssen z.B. nachweisen, wann die technischen und organisatorischen Maßnahmen geprüft wurden, wann welches Verfahrensverzeichnis erstellt wurde und wann welche Risikoanalyse durchgeführt wurde. Übliche Nachweise sind Rechenschaftsberichte, die anlassbezogen oder jährlich erstellt werden.

Bei Rückfragen stehen wir Ihnen sehr gerne zur Verfügung. Vereinbaren Sie einfach einen Beratungstermin.