Datenschutzgrundverordnung – jetzt Umsetzung starten
Zum 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) das deutsche Bundesdatenschutzgesetz (BDSG) ablösen. Die Übergangsfrist hierzu läuft bereits seit Mai 2016. Leider ist diese vielfach nicht genutzt worden – jetzt wird der Umsetzungszeitraum immer knapper. Es besteht akuter Handlungsbedarf. Warum?
Das Datenschutzrecht wird umfassend auf europäischer Ebene vereinheitlicht. Die Datenschutzrichtlinie (data protection policy) aus dem Jahre 1995 ist abgelöst worden. Die Datenschutzgrundverordnung, EU-DS-GVO bzw. DS-GVO abgekürzt, englisch General Data Protection Regulation (GDPR), verfolgt das Ziel, das Datenschutzrecht zu modernisieren, fit zu machen für die neuen Herausforderungen der Informationstechnologien. Und anders als 1995 soll dies im Wege eines unmittelbar geltenden Gesetzes „auf einen Schlag“ für alle in der europäischen Union in gleicher Weise gelten.
Den Mitgliedstaaten sollen nur noch kleinere Bereiche verbleiben, die sie abweichend bzw. eigentlich nur noch spezifischer und im Detail näher ausgeführt, regeln dürfen sollen. Dazu wurden Öffnungsklauseln eingefügt.
Die Neuregelungen der DS-GVO bringen auch für Deutschland einge wesentliche Änderungen für das Datenschutzrecht im Unternehmen mit sich, die
- die Haftung des Unternehmens, seiner Geschäftsleitung als auch der handelnden Mitarbeiter betreffen,
- denn dieser Haftungsrahmen ist durch die Erhöhung der Bußgeldhöhe von 300.000 EUR (so noch das BDSG) auf dann 20 Mio. EUR und die Ausdehnung der Bußgeldtatbestände deutlich ausgeweitet worden,
- die Datenorganisation und deren (dies erlaubenden) Rechtsgrundlagen (= Erlaubnisgründe und –normen) werden deutlich umstrukturiert,
- Betroffenenrechte auf Auskunft, Löschung, „Vergessen“ und vor allem Datenportabilität werden ausweitet bzw. gänzlich neu geschaffen,
- und zudem können Betroffene im Falle einer Verletzung ohne Nachweis eines konkreten (wirtschaftlichen) Schadens sozusagen abstrakt einen Ausgleichs- und Ersatzbetrag fordern.
Durchgreifend sind im Wesentlichen zwei materiellrechtliche Änderungen:
- Es findet eine Art Beweislastumkehr statt, d.h. die Unternehmen müssen nachweisen, dass sie Daten entsprechend der DSGVO verarbeiten dürfen. Es genügt nicht mehr, die Kundendatenverarbeitung sozusagen abstrakt auf § 28 BDSG, oder die Videoüberwachung auf § 6b BDSG zu stützen.
- Und zum anderen muss eine spezifische und detaillierte Dokumentation eingeführt werden, die entweder schriftlich oder elektronisch den Nachweis über die geforderten Maßnahmen wiedergibt (einschließlich Kontroll- und Prüfungsmaßnahmen, z.B. im Bereich E-Mail-Management). All dies beginnt bereits in der Planungs- und Vorbereitungsphase, da dort die nötigen Risikoprüfungen (Risiken aus Sicht der Betroffenen) erfolgen müssen und darüber eine Dokumentation (!) anzulegen ist.
Operativ sind vor allem die Bereiche Marketing und Vertrieb, Orga, IT, Einkauf, dort insbesondere Dienstleistungsverhältnisse mit Dritten (auch und gerade Wartungs- und Pflegevertragsverhältnisse), und natürlich Personal betroffen.
Daher besteht akuter Handlungsbedarf.
Über ein fachbereichsübergreifendes Projektteam sollte der konkrete Umsetzungsbedarf ermittelt werden. Im Rahmen dessen sollte eine GAP-Analyse erfolgen und, soweit noch nicht vorhan-den, über die Einführung eines IT-Sicherheits- und Datenschutzmanagementsystems entschieden werden. Diverse Rechtstexte (wie z.B. die Datenschutzerklärungen im Internet, Verpflichtungserklärungen der Mitarbeiter, Vertragsregelungen mit Zulieferern und sonstigen Vertragspartnern) werden bis zum 25.05.2018 anzupassen sein.
Es ist zu erwarten, dass derartiger Anpassungsbedarf noch im Hinblick auf eine Vielzahl weiterer Rechtstexte in den Unternehmen besteht (z.B. Betriebsvereinbarungen, Arbeitsanweisungen, Ablauf- und Prozessbeschreibungen).
Es muss geprüft werden, ob die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht, und wenn das der Fall ist, ob hierzu alle formalen Voraussetzungen erfüllt sind (bis hin zur Meldung).
Weiterhin sind Anpassungen in Bezug auf die Zulieferer und Dienstleister, insbesondere Internetdienste (Internetauftritt, Onlineshop, Social Media) zu erwarten, die frühzeitig abzustimmen, vorzubereiten und den technischen Dienstleistern zur Verfügung zu stellen sind. Aus der Auftragsdatenverarbeitung wird zukünfigt eine Auftragsverarbeitung mit neuen Haftungsregeln für den Dienstleister.
Die Geschäftsleitung ist gegenüber dem Unternehmen über die Haftungsnormen des GmbHG bzw. AktG (bzw. HGB oder KWG) dazu verpflichtet, entsprechende organisatorische und technische Maßnahmen frühzeitig einzuleiten, vorzuhalten, zu überwachen und auch einer laufenden Kontrolle zu unterwerfen, will sie sich nicht selbst dem Risiko einer persönlichen Haftung ausetzen.
Dazu müssen insbesondere auch Maßnahmen der laufenden Kontrolle, Achtung und Wahrung des Datenschutzes, einschließlich von Schulungsmaßnahmen, dokumentiert und nachgewiesen werden (z.B. im Umgang mit elektronischen Medien wie E-Mail, Internetdiensten, Social Media).
Andernfalls drohen ab dem 25.05.2018 nach Maßgabe der Neuregelungen der Datenschutzgrundverordnung Bußgeldverfahren mit bis zu 20 Millionen EUR bzw. 4 % des weltweiten Jahres-umsatzes (vgl. Art. 83 EU-DS-GVO). Darüberhinaus können Betroffene Rechte geltend machen, etwa auf Auskunft und Schadensersatz gerichtet. Mitbewerber und zur Abmahnung berechtigte Vereinigungen können über das Wettbewerbsrecht (u.a.) kostenpflichtig abmahnen lassen.
Die Angriffsflächen und Haftungsrisiken für Unternehmen, Unternehmer und Geschäftsleitungen haben mithin in diesem Bereich erheblich zugenommen.
Sind bei Ihnen bereits die Vorbereitungen und Anpassungen angelaufen?
Trackbacks & Pingbacks
[…] Zum Datenschutzrecht ist zunächst einmal festzustellen, dass dieses vor einer umfassenden Reform und damit gerade auch Modernisierung steht. Zum 25.05.2018 wird die EU-Datenschutzgrundverordnung vollumfänglich anzuwenden sein. Es handelt sich um ein euriopäisches Gesetz im Range einer EU Verordnung, daher ohne weitere Umsetzung durch die Mitgliedstaaten in Kraft stehend. Einen ersten Überblick gibt unser Beitrag aus Januar (hier). […]
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!