Die Europäische Datenschutz-Grundverordnung kommt – ist Ihr Unternehmen bereit?

Die Europäische Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union und ersetzt die bisherigen Regelungen des Bundesdatenschutzgesetzes weitgehend. Diese neue Gesetzeslage bringt neue Anforderungen an jedes Unternehmen, erweiterte Dokumentationspflichten, Haftung und ein hohes Bußgeldrisiko mit sich. Mittelständler und kleine Unternehmen sollten die verbleibende Zeit nutzen und sich auf die neue Rechtslage vorzubereiten.

Für wen gilt die Datenschutz-Grundverordnung?

Die Grundverordnung gilt zukünftig für alle Unternehmen und geschäftlich Handelnden, wenn sie in der EU ihren Sitz haben oder auch nur ihre Leistung in der EU anbieten. Das Gesetz sieht Erleichterungen für kleine Unternehmen oder solche mit wenig Datenverarbeitung vor; es gilt aber zunächst für jede Datenverarbeitung, die nicht rein privaten Zwecken dient. Auch Kleinunternehmen und Mittelständler müssen sich mit den neuen Vorgaben auseinandersetzen.

Was sind die wesentlichen Anforderungen der Datenschutzgrundverordnung?

Zukünftig müssen Unternehmen, um sich rechtskonform zu verhalten, jedenfalls folgende datenschutzrechtliche Anforderungen beachten und umsetzen:

• Verbot mit Erlaubnisvorbehalt: Nach dem neuen Recht gilt der Grundsatz fort, dass eine Verarbeitung personenbezogener Daten verboten ist, es sei denn, sie ist durch eine gesetzliche Vorschrift erlaubt. Gesetzliche Erlaubnistatbestände finden sich in der DSGVO, ggf. in Verbindung mit einem anderen Gesetz oder können in Form einer Einwilligung bestehen. Die Anforderungen an wirksame Einwilligungen machen eine Überprüfung der Einwilligungspraxis erforderlich. Jedes Unternehmen muss in der Lage sein, die Rechtmäßigkeit seiner Datenverarbeitung positiv nachzuweisen und hierfür Dokumentationen vorhalten:
  • Die im Unternehmen stattfindende Datenverarbeitung ist gem. Art. 30 DSGVO in einem sog. Verzeichnis von Verarbeitungstätigkeiten darzustellen und in aktueller Fassung vorzuhalten.
  • In diesem Verzeichnis muss auch dokumentiert werden, welche Maßnahmen der Datensicherheit getroffen worden sind. Die Datensicherheitsmaßnahmen müssen Sie am Risiko der jeweiligen Datenverarbeitung orientieren.
  • Neben diesem Verzeichnis von Verarbeitungstätigkeiten sind weitere Dokumentationen notwendig: Jedes Unternehmen trifft eine Rechenschaftspflicht, wie es die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO umsetzt. Diese sog. Rechenschaftspflicht ist neu und macht eine umfassende Dokumentation der Verarbeitung im Unternehmen unerlässlich.
• Nach dem neuen Recht wurden auch die Rechte der betroffenen Personen (Kunden, Mitarbeiter, Vertragspartner) gestärkt: Die betroffenen Personen haben u. a. Anspruch auf Information, Auskunft, Löschung, Berichtigung, Sperrungen – mit diesen Ansprüchen der betroffenen Personen müssen Sie umgehen können. Die Informationspflicht gegenüber den Betroffenen besteht bereits bei der Erhebung von personenbezogenen Daten und setzt ein aktives und nachweisbares Handeln des Unternehmens voraus. Hierfür müssen Sie entsprechende Dokumente erarbeiten und einsetzen.
• Nutzen Sie Dienstleister, die Datenverarbeitungen für Sie im Auftrag durchführen, so müssen Sie Auftragsdatenverarbeitungsverträge abschließen, die die neuen gesetzlichen Anforderungen erfüllen.
• Möglicherwiese ist auch ein betrieblicher Datenschutzbeauftragter zu bestellen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist zukünftig nicht mehr ausschließlich an die Anzahl der im Unternehmen mit der Datenverarbeitung Beschäftigten (jedenfalls ab zehn Personen verpflichtend) geknüpft, sondern richtet sich auch nach der Art der Datenverarbeitung.
• Daneben besteht für bestimmte Arten der Datenverarbeitung die Pflicht zur Durchführung einer sogenannten Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO. Diese Verpflichtung ist in Deutschland neu.

Dies sind nur die wichtigsten Themen, die jedes Unternehmen beherrschen muss. Weitere Anforderungen aus der Grundverordnung, dem neuen (ab Mai 2018 geltenden) Bundesdatenschutzgesetz und bereichsspezifische Regelungen sind zusätzlich zu berücksichtigen.

Welches Risiko birgt eine Nichteinhaltung der Datenschutz-Grundverordnung?

Die Umsetzung dieser vorgenannten Pflichten ist gesetzlich verpflichtend. Eine Nichtumsetzung ist mit erheblichem Risiko behaftet: Neben dem Risiko von Kontrollverfahren und Bußgeldern durch die Aufsichtsbehörden ist zukünftig mit einem erhöhten Risiko durch die Wahrnehmung von Betroffenenrechten – welche zukünftig auch immateriellen Schadensersatz umfassen – zu rechnen. Die Aufsichtsbehörden sind zukünftig befugt, Bußgelder im zweistelligen Millionenbereich und darüber festzusetzen. Auch für Mittelständler drohen relevante Bußgelder – denn die behördlichen Bußgelder sollen zukünftig in jedem Fall „abschreckend“ sein.

Ist Ihr Unternehmen wirklich bereit für die neue Rechtslage?

Halten Sie die notwendigen Dokumente vor, haben Sie Ihre Pflicht zur Bestellung eines Datenschutzbeauftragten und Durchführung einer Folgenabschätzung geprüft und können mit Betroffenenrechten umgehen? Ist Ihre Datensicherheit auf aktuellem Stand und dokumentiert?

Ich berate Unternehmen zur Umsetzung der Datenschutz-Grundverordnung, in allgemeinen datenschutzrechtlichen Fragen, vertrete Unternehmen gegenüber den Aufsichtsbehörden und in Gerichtsverfahren. Gerne unterstütze ich auch Ihr Unternehmen beim Aufbau von Datenschutzstrukturen und der rechtssicheren Umsetzung der neuen gesetzlichen Vorgaben. Schicken Sie mir gerne eine Nachricht und wir finden heraus, ob Sie datenschutzkonform aufgestellt sind und wie ich Ihr Unternehmen unterstützen kann.