DSGVO: Auf dem Weg zur Datenschutz-Grundverordnung

Am 25.05.2018 treten die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-Neu) in Kraft. Vor allem bei Unternehmen sorgt dies für große Aufmerksamkeit. Ursächlich dafür sind insbesondere die neuen Sanktionsvorschriften. Über allem schwebt das Damoklesschwert Art. 83 Abs. 5 DSGVO, wonach bei bestimmten Verstößen von Unternehmen eine Geldbuße von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden kann. Spätestens dadurch wird klar, wie ernst der Schutz personenbezogener Daten genommen wird und welche Aufmerksamkeit man ihm schenken sollte.

Unternehmen, die schon bisher großen Wert auf die Einhaltung des Datenschutzes Wert gelegt haben, sollten mit den neuen Bestimmungen keine größeren Probleme haben. Die wesentlichen Elemente des BDSG finden wir auch in der DSGVO und dem BDSG-Neu wieder. Allerdings in einer teils deutlich konkreteren Form, sodass in jedem Fall Handlungsbedarf besteht. So entsprechen zum Beispiel die meisten Datenschutzbestimmungen noch nicht den neuen Vorgaben. Für all diejenigen, die es bisher mit dem Datenschutz nicht ganz so genau gesehen haben, empfiehlt sich zunächst ein Blick in Art. 5 DSGVO. Dort sind die allgemeinen Datenschutzgrundsätze normiert, auf denen die DSGVO aufbaut. Allein das Kennen dieser Grundsätze sollte eine gewisse Sensibilisierung schaffen.

In Deutschland hatten wir schon bisher ein – zumindest gesetzlich – hohes Datenschutzniveau. In den neuen Bestimmungen werden die Rechte der Betroffenen und die Pflichten der Verantwortlichen dennoch erweitert.

Ersteren soll es insbesondere leichtgemacht werden, Informationen über die gespeicherten Daten zu erlangen (Transparenzgebot). Außerdem erhalten sie nun auch einen normierten Anspruch auf das sogenannte „Recht zum Vergessenwerden“.

Verantwortliche müssen unter anderem sicherstellen, dass technische Voreinstellungen getroffen werden, damit im Rahmen der Datenerhebung nur solche personenbezogenen Daten erhoben werden, die für den entsprechenden Verwendungszweck im Rahmen der Datenverarbeitung auch erforderlich sind („privacy by design“ und „privacy by default“).

Fazit: Verantwortliche sollten schnellstmöglich eine Bestandsaufnahme durchführen, mit der sie alle Prozesse ausfindig machen, in denen personenbezogene Daten erhoben bzw. verarbeitet werden. Die Bestandsaufnahme dient dann als Ausgangspunkt der Überprüfung, inwiefern diese Prozesse angepasst und welche Prozesse neu integriert werden müssen. Hierbei sollte in jedem Fall juristischer Rat eingeholt werden.

[Detailinformationen: RA Lukas Kucklick, Tätigkeitsschwerpunkte IT-Recht, Verkehrsrecht, Reiserecht] 

Weitere Informationen, aktuelle Urteile und Termine sowie eine Anwaltsübersicht und unsere Serviceleistungen finden Sie im Internet auf unserer Website.