deen
Nexia Ebner Stolz

Die EU-Datenschutz-Grundverordnung kommt – was bedeutet das für Unternehmen?

Der Zeitpunkt rückt näher: die EU-Datenschutz-Grundverordnung („DSGVO“) gilt ab dem 25.5.2018 EU-weit unmittelbar und vorrangig gegenüber nationalem Recht. Deutschland hat hierzu ein Begleitgesetz erlassen, welches die Anforderungen der DSGVO konkretisiert und das noch geltende Bundesdatenschutzgesetz (BDSG) ab dem 25.5.2018 ablösen wird.

Bis zu diesem Zeitpunkt haben Unternehmen noch Zeit, sich auf die neuen Bestimmungen einzustellen. Datenschutzbehörden dürfen erst danach Sanktionen verhängen.

Die EU-Datenschutz-Grundverordnung kommt – was bedeutet das für Unternehmen?© Thinkstock

Ziele und Anwendungsbereich der DSGVO

Ziel der DSGVO ist es, in der gesamten EU ein einheitliches Datenschutzniveau zu schaffen. Bislang hatte jeder Mitgliedsstaat seine eigenen Datenschutzregelungen, die nur zum Teil auf EU-Recht beruhten. Die Digitalisierung macht aber vor Landesgrenzen nicht Halt, so dass die unterschiedlichen Anforderungen nationaler Gesetze für grenzüberschreitend tätige Unternehmen ein Problem darstellen. Die DSGVO soll diesen Zustand beheben und vor allem einheitliche Regelungen und Wettbewerbsbedingungen für die Datenverarbeitung gewährleisten. Die DSGVO gilt für datenverarbeitende Stellen mit Sitz in der EU, aber auch für solche ohne Sitz in der EU, die sich an betroffene Personen in der EU richten.

Die DSGVO regelt den Schutz personenbezogener Daten. Das sind sämtliche Daten, anhand derer man eine natürliche Person („betroffene Person“) identifizieren kann. Die DSGVO richtet sich an öffentliche Stellen wie auch an alle natürlichen und juristischen Personen („Verantwortliche“ und „Auftragsverarbeiter“), die personenbezogene Daten verarbeiten. „Verarbeitung“ ist beispielsweise das Erheben, Erfassen, die Organisation, Speicherung, Veränderung, Verwendung, Übermittlung, und auch die Löschung von Daten – kurz gesagt: jeder Vorgang, der personenbezogene Daten betrifft. Jedes Unternehmen hat eine Vielzahl solcher Daten: Exemplarisch seien hier Mitarbeiter- und Kundendaten genannt, aber auch Lieferanten und Geschäftskontakte enthalten oft einen Personenbezug.

Neue Rechenschaftspflicht für datenverarbeitende Unternehmen

Die DSGVO bestimmt zahlreiche konkrete Pflichten, die Unternehmen erfüllen müssen. Diese Aufgaben und Verantwortlichkeiten entsprechen teilweise den bisherigen Regelungen des deutschen Bundesdatenschutzgesetzes, sind aber in weiten Teilen anders bzw. neu.

Verantwortliche, also z. B. die Unternehmen, sind nunmehr für die Einhaltung dieser Datenschutzvorgaben rechenschaftspflichtig, müssen also deren Einhaltung nachweisen. Sie müssen zwingend ihre Prozesse so einrichten und dokumentieren, dass den Datenschutzbehörden die datenschutzkonforme Datenverarbeitung von personenbezogenen Daten nachgewiesen werden kann.

Konkreter Handlungsbedarf

Der Anpassungsbedarf muss bei jedem Unternehmen individuell ermittelt werden. Jedoch sollten Unternehmen mindestens folgende Themen angehen:

  • Verträge zur Auftragsverarbeitung (mit Dienstleistern) anpassen bzw. abschließen,
  • Verarbeitungsverzeichnis anpassen bzw. erstellen,
  • Datenschutz-Folgeabschätzungen durchführen,
  • technische und organisatorische Maßnahmen anpassen bzw. einrichten,
  • Informationen für Betroffene bereitstellen bzw. anpassen,
  • interne Prozesse einrichten, um die Betroffenenrechte zu erfüllen,
  • Datenschutzbeauftragten bestellen,
  • interne Prozesse für Meldungen von Datenschutzverstößen einrichten,
  • Datenschutzmanagementsystem anpassen bzw. einrichten,
  • Mitarbeiter schulen.

Als konkreter Handlungsplan bis Mai 2018 empfiehlt sich folgendes Vorgehen:

  1. Schutzbedarf der verarbeiteten personenbezogenen Daten ermitteln
  2. Risiken für personenbezogene Daten analysieren und bewerten
  3. Maßnahmen zum Schutz personenbezogener Daten definieren und umsetzen
  4. Ergebnisse dokumentieren
Die Punkte 1. und 2. richten sich zum einen nach Sensibilität und Umfang der personenbezogenen Daten und zum anderen nach der Beschaffenheit der vorhandenen IT-Infrastruktur. Dabei ist zu ermitteln, mit welcher Wahrscheinlichkeit welche Art von Daten bedroht sein kann. Daran anknüpfend, sind in Punkt 3. Maßnahmen zu definieren und umzusetzen, um Schäden an personenbezogenen Daten zu verhindern. Als Punkt 4. sind die eingerichteten Maßnahmen zu dokumentieren, um den Aufsichtsbehörden die DSGVO-Konformität nachweisen zu können.

Deutlich erhöhte Bußgelder

Eine ganz wesentliche Änderung im Verhältnis zur bisherigen Rechtslage besteht darin, dass die Sanktionsmöglichkeiten für Datenschutzverstöße enorm erweitert werden. Die Datenschutzbehörden können bzw. müssen „wirksame, verhältnismäßige und abschreckende“ Geldbußen verhängen. Die DSGVO sieht hierfür einen deutlich erhöhten Bußgeldrahmen von bis zu 20 Mio. Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw. des Konzernverbundes vor.

Fazit

Unternehmen sollten nicht nur, sondern müssen ihre Datenverarbeitungsprozesse zwingend an der DSGVO und dem neuen BDSG ausrichten. Gelingt das nicht, ist ab dem 25.5.2018 nicht nur mit hohen Geldbußen zu rechnen, sondern es können auch Imageschäden in einer deutlich sensibilisierten Öffentlichkeit drohen.


nach oben