Auswirkungen der EU-DSGVO für die Datenschutz-Regelungen im Unternehmen

Datenschutz und Datensicherheit, rechtliche Aspekte, Paragraph, BDSG, Bundesdatenschutzgesetz, Computer, Internet,  Datenschutzrecht, Password, Passwort, IT, Symbol, ComputerkriminalittDatenschutz, Teil 10

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! Alle Unternehmen haben jetzt noch zwei Jahre Zeit, den Datenschutz in ihrem Unternehmen, auf die neuen Regelungen anzupassen, um so ab Inkrafttreten im Mai 2018, wieder komplett gesetzeskonform aufgestellt zu sein. Selbst für kleinere Unternehmen sind die Maßnahmen zwingend.

Es war ein jahrelanges, zähes Ringen zwischen Lobbyverbänden, Politikern, internationalen IT-Konzernen, Verbraucherschützern und -organisationen sowie den EU-Institutionen und den EU-Parlamentariern. Und es war die mit Abstand komplizierteste Verordnung, die die EU jemals verabschiedet hat. Sogar ein spannender Film ist zu ihrer Entstehung und dem Hauptprotagonisten, dem Grünen-Abgeordneten Jan-Philipp Albrecht, produziert worden. Nach tausenden von Änderungsanträgen schließlich, konnte die EU-Datenschutzverordnung im vergangen Mai veröffentlicht werden: die EU-DSGVO.

Sie soll Verbraucher schützen und Unternehmerinteressen wahren: Ein Spagat. Eine Verordnung, die uns alle angeht, jeden Tag und überall: Privat wie im Beruf. Die Ziele der EU-DSGVO sind klar umrissen. Es soll ein einheitliches Datenschutz-Niveau in allen EU-Mitgliedsstaaten erreicht werden. Dennoch gibt es, in einigen Punkten, länderspezifische Ausgestaltung durch sogenannte Öffnungsklauseln, damit jedes Land eine gewisse individuelle Note beisteuern kann. Die nationalen Regelungen müssen bis Mai 2018 in Gesetze gegossen sein, so dass auch die Umsetzung erfolgen kann.

Die EU-DSGVO legt deutlich mehr Wert auf Transparenz der Datenverarbeitung gegenüber den Betroffenen und verstärkt damit die Betroffenenrechte und Informationspflichten. Explizit wird auch klargestellt, dass Kinder und deren personenbezogene Daten, besonders zu schützen sind.

Was ändert sich beim Übergang vom BDSG zur EU-DSGVO?

Der auffälligste Unterschied, zwischen dem Bundesdatenschutzgesetz BDSG und der EU-DSGVO ist, dass aus den 48 Paragrafen jetzt 99 Artikel geworden sind.

Das bisher auch für das BDSG beziehungsweise die LDSGs geltende Subsidiaritätsprinzip entfällt mit der EU-DSGVO. Das bedeutet, dass das neue Datenschutzgesetz nicht mehr durch andere Gesetze überstimmt werden kann, sondern dass es in jedem Fall mit gilt.

Die derzeit einzuführenden technischen und organisatorischen Maßnahmen (beschrieben in der Anlage zu §9 BDSG), werden ersetzt durch Datenschutzziele und Grundprinzipien des Datenschutzes, die technik-neutral beschrieben sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit (der Daten)
  • Speicherbegrenzung (bedeutet: anonymisieren oder löschen, sobald der Zweck der Datenerhebung erfüllt ist)
  • Integrität und Vertraulichkeit

Gleichzeitig mit der Einführung der Grundprinzipien, wird auch die Rechenschaftspflicht des Verantwortlichen eingeführt. Bisher hieß es, dass die verantwortliche Stelle die geltenden Gesetze einhalten muss. In der EU-DSGVO heißt es jetzt, dass der Verantwortliche nachweisen können muss, dass er die Grundprinzipien einhält. Das bedeutet, dass die Dokumentationspflicht des Verantwortlichen, deutlich stärker in den Vordergrund seiner Tätigkeit rücken wird. Für Vermittler und Berater ein zusätzlicher Dokumentationsaufwand. Gleichzeitig werden die Obergrenzen für die möglichen Bußgelder drastisch erhöht und konkret auf Verstöße gegen einzeln benannte Artikel bezogen. Aus den Obergrenzen von 50.000 Euro beziehungsweise 300.000 Euro sind jetzt 10 Millionen Euro beziehungsweise 20 Millionen Euro oder zwei beziehungsweise vier Prozent des weltweit erzielten Gesamtumsatzes des Unternehmens geworden, je nachdem welcher Betrag der größere ist.

Ein Beispiel für die Ausgestaltung der Rechenschaftspflicht ist, das Erstellen von Verfahrensbeschreibungen. Diese müssen verpflichtend erstellt werden,

  • wenn das Unternehmen mindestens 250 Mitarbeiter hat
    oder
  • wenn besondere Daten verarbeitet werden
    oder
  • wenn Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden.

Kleinere Unternehmen sollten Verfahrensbeschreibungen aufstellen

Ein Verstoß gegen diese Pflicht ist strafbewehrt. Kleinere Unternehmen könnten sich jetzt auf der sicheren Seite wähnen, dass sie keine Verfahrensbeschreibungen erstellen müssen. Allerdings gilt auch für die kleineren Unternehmen, dass sie den Nachweis über die Einhaltung der Grundprinzipien erbringen müssen. Ein guter Nachweis der Rechtmäßigkeit und Zweckbindung der Datenverarbeitung ist, über die Verfahrensbeschreibung einfach möglich und es bietet sich daher an, dass auch kleinere Unternehmen Verfahrensbeschreibungen erstellen.

Der in Deutschland bereits seit einigen Jahren ausgeprägte Beschäftigten-Datenschutz ist in anderen EU-Ländern bisher nicht eingeführt. Daher sieht die EU-DSGVO keine generellen Regelungen für den Schutz des Persönlichkeitsrechts von Beschäftigten vor. Allerdings gibt es auch hier eine Öffnungsklausel und so gehen die Datenschutzrechtsexperten davon aus, dass in Deutschland Regelungen analog BDSG bestehen bleiben bzw. eingeführt werden.

Der Datenschutzbeauftragte bleibt

Die Sorge einiger Datenschutzbeauftragten, dass ihre Daseinsberechtigung mit der Einführung der EU-DSGVO wegfallen könnte, war unbegründet. Es gibt ihn auch weiterhin und die gesetzliche Vorgabe der Fachkunde ist jetzt deutlicher und klarer beschrieben. Unklar ist im Moment noch, welche Rahmenbedingungen in Deutschland für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten gelten werden. Wahrscheinlich wird die Verpflichtung wieder an bestimmte Arten der Datenverarbeitung und an Mitarbeiterzahlen geknüpft, es wurde jedoch auch schon diskutiert, den Jahresumsatz des Unternehmens dafür heranzuziehen.

Sicher ist, dass bei Bestellung eines Datenschutzbeauftragten seine Kontaktdaten veröffentlicht und (neu) der Aufsichtsbehörde gemeldet werden müssen.

Was bedeutet die Einführung der EU-DSGVO konkret für Unternehmer?

Es ist Pflicht des Unternehmers, bis zum Mai 2018, alle Datenschutz-Regelungen seines Unternehmens zu überprüfen, ob sie auch zu den Bestimmungen der EU-DSGVO passen. Falls nicht oder falls es noch gar keine Datenschutz-Regelungen im Unternehmen gibt, sollte er Unternehmensregelungen verändern oder neu einführen, so dass ab Mai 2018 eine Überprüfung nach EU-DSGVO möglich ist. Am besten macht er, gemeinsam mit seinem Datenschutzbeauftragten, einen Plan, welche Bereiche des Unternehmens betroffen sind und wie sie von A (BDSG) nach B (EU-DSGVO) kommen.

 

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de