EU-Datenschutzgrundverordnung: Die Uhr tickt!

Bis zum Wirksamwerden der europäischen Datenschutzgrundverordnung dauert es nur noch ein halbes Jahr. Das bedeutet, dass auch für Unternehmen und Verbände, besser gesagt für Jeden der mit persönlichen Daten, sei es nun von Mitarbeitern, Kunden oder Mandaten in Berührung kommt, völlig neue Regeln gelten. Daraus folgt auch, dass ab dem 25. Mai 2018 Sanktionen für Verstöße gegen die neuen, europaweit gültigen Regeln deutlich ansteigen. Um diesen zuvorzukommen, sollten dringend alle Maßnahmen ergriffen werden, um vor dem Stichtag die Vorgaben der neuen Verordnung umzusetzen.

Nach einer zweijährigen Übergangszeit seit ihrem Inkrafttreten entwickelt die Verordnung Rechtswirkung für alle am Rechtsverkehr Beteiligten. Danach müssen Unternehmen die Vorgaben der Verordnung zum Ende der Frist in ihren Geschäftsprozessen und Sicherheitskonzepten umgesetzt haben. Die DSGVO ersetzt die länderspezifischen Datenschutzgesetze, kann lokal durch Ergänzungen präzisiert, aber nicht abgeschwächt werden.

Die Verordnung setzt neue Standards für die Verarbeitung personenbezogener Daten von Bürgern in der Europäischen Union. Sie stärkt zum einen das Recht des Einzelnen auf informationelle Selbstbestimmung der Verwendung seiner Daten. Zum anderen bürdet sie Unternehmen erhöhte Sorgfalt bei der Verarbeitung personenbezogener Daten auf.

In Deutschland soll die formelle Umsetzung durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) erreicht werden, welches im Februar durch das Bundeskabinett verabschiedet wurde. Mit der dadurch erzielten Gesetzesklarheit können Unternehmen die interne Umsetzung der neuen Normen mittlerweile rechtssicher vornehmen. Der zeitliche und personelle Aufwand zur Vorbereitung auf die DSGVO wird innerhalb von Unternehmen häufig unterschätzt. Dabei sind von der DSGVO nahezu Alle betroffen, da sie personenbezogene Daten, wie Kunden- oder Mitarbeiterdaten, erheben, verarbeiten und nutzen – ob als Verantwortliche oder als Auftragsverarbeiter. Verzögerungen und Unzulänglichkeiten bei der Umsetzung können ab dem Stichtag stark sanktioniert werden.

Was sich für Unternehmen ändert

Um DSGVO-Konformität zu gewährleisten, sind Unternehmen dazu verpflichtet, ihr bisheriges Datenmanagement, ihre Geschäftsprozesse, Compliance-Regelungen und Sicherheitsstrategien zu überprüfen und der neuen Rechtslage anzupassen. Schwierigkeiten könnten dabei unter anderem die Identifizierung und Löschung nicht mehr benötigter Daten und veralteten Datensilos, die Anpassung von Prozessen, die die erweiterten Informationsrechte berücksichtigen und eine datenschutzgerechte Security-Infrastruktur bereiten.

Außerdem müssen Unternehmen einen Prozess einrichten, der es ihnen ermöglicht, Verstöße gegen den Datenschutz binnen 72 Stunden an die Aufsichtsbehörden zu melden. Auch Dienstleisterbeziehungen sind von der DSGVO betroffen. Lagert ein Unternehmen Teile seiner Datenverarbeitung aus, hat es sicherzustellen, dass der hierfür eingesetzte Auftragsdatenverarbeiter ebenso die Vorgaben der DSGVO beachtet.

Der Schutz der Betroffenenrechte wird also massiv gestärkt und ist zu jedem Zeitpunkt der Datenverarbeitung zu gewährleisten – und das unabhängig davon, wer konkret die Daten verarbeitet. Damit gehen erhöhte Dokumentations- und Transparenzpflichten einher. Zudem ist jede der im Verarbeitungsverzeichnis erfassten Verarbeitungen einer Risikoanalyse und eventuell auch einer sogenannten Datenschutz-Folgenabschätzung zu unterziehen.

Der wohl signifikanteste Unterschied zum bisherigen Regelwerk ist die Einführung einer Rechenschaftspflicht für den Verantwortlichen; also das Unternehmen. In der Praxis wird dies nämlich zu einer Beweislastumkehr führen. War es früher so, dass Verbraucher, Mitarbeiter oder Kunden, die den Verdacht hatten, dass der Schutz ihrer personenbezogenen Daten verletzt wurde, dies beweisen mussten, wird dies zukünftig umgekehrt. Das Unternehmen muss den Nachweis führen, dass es die Vorgaben der DSGVO eingehalten hat. Neben den unmittelbar Betroffenen haben künftig aber auch Verbraucherschutzverbände die Möglichkeit, Klage zu erheben.

Dazu steigen auch die Bußgelder in einem Umfang, der für alle Unternehmen relevant ist. Es drohen künftig Strafzahlungen bis zu 20 Millionen Euro oder aber bis zu vier Prozent des weltweit erzielten Jahresumsatzes – und zwar abhängig davon, welche Summe höher ist. Angesichts der Kürze der verbleibenden Umstellungszeit ist es daher in den meisten Fällen empfehlenswert, über die Beschleunigung bereits eingeleiteter Maßnahmen nachzudenken.

Wie wir Ihnen dabei helfen können

Um der Rechenschaftspflicht gerecht zu werden, müssen die Unternehmen ein Datenschutz-Management-System einrichten. Dieses umfasst klare Rollen und Verantwortlichkeiten, ein Rahmenregelwerk mit korrespondierender Aufbau- und Ablauforganisation und entsprechenden Regelprozesse, dazu Kontrollen, Kommunikationsmaßnahmen und eine prüfungssichere Dokumentation. Zudem ist es essentiell, ein vollständiges Verzeichnis der Verarbeitungstätigkeiten aufzubauen. Dieses wird die Basis der Dokumentation des Management-Systems.

Es sollen bestehende Risiken identifiziert und nach den Kriterien Ursache, Frühidentifikatoren, Zeitpunkt des Eintritts und Auswirkungen beschrieben werden. Im Anschluss erfolgt eine Bewertung nach der Eintrittswahrscheinlichkeit und dem Ausmaß nachteiliger Folgen sowie den Möglichkeiten zur Risikovermeidung und -verringerung. In die Betrachtung einzubeziehen sind Risiken für betroffenen Personen, mögliche Bußgelder, zivilrechtliche Haftungsrisiken, Rufschäden und sonstige Nachteile.

Wir bieten Ihnen eine vollumfängliche datenschutzrechtliche Betreuung, bei Umsetzung der Datenschutzgrundverordnung. Weniger als ein halbes Jahr vor der Implementierung der Grundverordnung muss jedes Unternehmen seine bisherigen Abläufe überprüfen und mit den neuen Normen in Einklang bringen. Die Uhr tickt!

Haben Sie Fragen zum Thema Europäische Datenschutzgrundverordnung? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: EU-Datenschutzgrundverordnung implementieren

Tags: , , , , , , , ,

Comments are closed.