Worum geht es?
Auch in Deutschland wird zukünftig die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gelten. Durch das neue EU-Recht werden das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst.
Ergänzt wird die DSGVO durch die EU-e-Privacy-Verordnung, die speziell Internet- und Telemediendienste betrifft. Diese befindet sich allerdings noch in Abstimmung, sodass es uns zum jetzigen Zeitpunkt nicht möglich ist, auf diese konkret einzugehen.
Was ist das Ziel der neuen Datenschutzverordnung?
Mit der neuen Datenschutzverordnung wird ein einheitliches Datenschutzrecht innerhalb der EU geschaffen. Darin sollen vor allem die Rechte und Kontrollmöglichkeiten derer gestärkt werden, deren personenbezogene Daten im Bereich der elektronischen Kommunikation genutzt und verarbeitet werden.
Ab wann gilt die DSGVO?
Stichtag für die DSGVO ist der 25. Mai 2018. Unternehmen sollten sich allerdings bereits vorab informieren, welche Änderungen auf sie zukommen. Eine Übergangsfrist gibt es nicht.
Für wen gilt die DSGVO?
Das neue Datenschutzrecht gilt für alle Unternehmen, die mit personenbezogenen Daten arbeiten – seien es Daten von Kunden, Geschäftspartnern oder Mitarbeitern. Personenbezogen sind Daten dann, wenn sie einer natürlichen Person zugeordnet werden können. Dies ist auch bei technischen Daten, wie etwa IP-Adressen und Log-Dateien der Fall.
Wie sind die Konsequenzen bei Nichtbeachtung der DSGVO?
Bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Wird zukünftig ein Datenschutzbeauftragter benötigt?
Ob ein Unternehmen einen eigenen Datenschutzbeauftragten zu bestellen hat, hing bislang von der Art der verarbeiteten Daten und der Zahl der Mitarbeiter ab. Künftig ist ein Datenschutzbeauftragter u. a. stets dann zu bestellen, wenn
- die Datenverarbeitung zur Kerntätigkeit des Unternehmens zählt und die Art, der Umfang oder der Zweck der Datenverarbeitung eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonders sensibler Daten besteht oder
- das Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Welche Dokumentationspflichten wird es geben?
Jedes Unternehmen, das personenbezogene Daten verarbeitet, hat künftig ein Verfahrensverzeichnis mit bestimmten Pflichtangaben zu führen. Enthalten sein müssen beispielsweise der Zweck der Verarbeitung sowie die Übermittlung von Daten an Drittländer.
Birgt die Datenverarbeitung ein hohes Risiko für die Betroffenen – beispielsweise bei Verwendung neuer Technologien oder aufgrund der Art oder des Umfangs der Verarbeitung – so hat das verarbeitende Unternehmen eine Folgenabschätzung vorzunehmen und zu dokumentieren.
Zudem müssen Unternehmen künftig in der Lage sein, Betroffenen jederzeit
- Auskunft zu geben, ob und welche und zu welchem Zweck Daten über sie erhoben, gespeichert und verarbeitet werden und
- eine (kostenlose) Kopie aller verarbeiteten Daten zugänglich zu machen.
Welche Schutzmaßnahmen müssen eingehalten werden?
Auch bisher mussten datenverarbeitende Unternehmen umfangreiche technische und organisatorische Schutzmaßnahmen einhalten. Auch diese sind neu geregelt worden. Unter bestimmten Voraussetzungen müssen Daten nun pseudonymisiert und verschlüsselt werden. Zudem ist eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Schutzmaßnahmen zu gewährleisten und zu dokumentieren.
Was ändert sich an der Datenschutzerklärung?
Werden Daten über das Internet erhoben, gelten zukünftig zusätzliche Anforderungen an die Datenschutzerklärung. So muss unter anderem über die Kontaktdaten des Datenschutzbeauftragten, die Rechtsgrundlage der Verarbeitung, die Dauer der Speicherung sowie über Auskunfts-, Berichtigungs-, Beschwerde- und Widerrufsrechte informiert werden – und zwar in einer einfachen und verständlichen Sprache.
Unser Fazit zur Datenschutz-Grundverordnung 2018
Mit der neuen DSGVO wird der Datenschutz EU-weit einheitlicher, aber keinesfalls übersichtlicher. Stattdessen ist mit einem erhöhten Bürokratieaufwand zu rechnen. Insbesondere kleine Unternehmen und solche, die sich bisher nicht um das Thema Datenschutz gekümmert haben, dürften die zusätzlichen Regelungen und Dokumentationspflichten am stärksten zu spüren bekommen.
Welche Anforderungen auf Sie und Ihre Kunden im Detail zukommen, sollten Sie individuell und idealerweise mit einem Anwalt klären. Sobald auch die EU-e-Privacy-Verordnung steht, informieren wir Sie ebenfalls.
Hier finden Sie die gesamte Datenschutz-Grundverordnung.