Das bisher in Deutschland geltende Bundesdatenschutzgesetz tritt durch die DSGVO zwar nicht außer Kraft, es herrscht jedoch ein Anwendungsvorrang zu ihren Gunsten. Zudem weitet die DSGVO den Anwendungsbereich europäischen Datenschutzrechts unter bestimmten Voraussetzungen auch auf Unternehmen außerhalb der EU aus.
Auch wenn für die Mitgliedsstaaten eine zweijährige Umsetzungsfrist galt und die neuen Regelungen damit erst am 25.05.2018 bindend in Kraft getreten ist, tun sich zahlreiche Unternehmen mit den notwendigen Anpassungen beim betrieblichen Datenschutz schwer. Dies ist insbesondere im Hinblick auf die nach der DSGVO drastisch erhöhten Bußgelder bei datenschutzrechtlichen Verstößen der Fall. Nach der neuen Verordnung können Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des Unternehmensumsatzes verhängt werden, was eine deutliche Verschärfung gegenüber den drohenden Bußgeldern nach dem Bundesdatenschutzgesetz (BDSG) darstellt.
Die wichtigsten Neuerungen der EU-DSGVO im Überblick
Zunächst enthält die DSGVO in vielen Punkten eine Haftungsausweitung für die verantwortlichen Stellen. So beispielsweise auch für den Datenschutzbeauftragten: Während im Hinblick auf die Voraussetzungen einer Bestellung weiterhin deutsches Recht anwendbar bleibt, sieht die DSGVO umfassende Überwachungspflichten für den Datenschutzbeauftragten vor. Dies stärkt zum einen seine Stellung im Unternehmen, zum anderen kann es aber auch eine Haftungsverschärfung bedeuten, sollte der Beauftragte diesen Pflichten nicht nachkommen.
Des Weiteren werden die Dokumentations- und Nachforschungspflichten der für die Datenverarbeitung relevanten Stellen verschärft. Der für die Verarbeitung Verantwortliche muss nachweisen können, dass er die Datenschutzgrundsätze der DSGVO jederzeit einhält. Erfolgt eine Auftragsverarbeitung der Daten, muss der Auftragsverarbeiter der verantwortlichen Stelle alle zum Nachweis erforderlichen Informationen zur Verfügung stellen.
Zu den Datenschutzgrundsätzen zählt unter anderem auch der Transparenzgrundsatz, der erheblich ausgeweitet wurde. Der Verantwortliche muss den Betroffenen künftig in "präziser, transparenter, verständlicher und leicht zugänglicher Form" über die Art der Datenerhebung, -verarbeitung und -speicherung aufklären. Die genau beschriebenen Auskunftspflichten gehen dabei weit über die bisherigen Anforderungen des BDSG hinaus.
Weiterhin erlegt die DSGVO Unternehmen die Pflicht auf, die verarbeiteten Daten technisch ausreichend zu sichern. Dies war zwar bereits nach dem alten Recht erforderlich, nach der Verordnung droht neuerdings jedoch ein Bußgeld, sollte das Unternehmen gegen seine Pflicht zur Datensicherung verstoßen. Zudem sollen IT-Systeme so eingestellt sein, dass sie den Grundsatz der Datenminimierung (früher: Datensparsamkeit) beachten, also möglichst wenige und nur absolut relevante Daten erheben und verarbeiten.
Auch die Rechte der individuell von der Datenverarbeitung Betroffenen werden gestärkt. So darf die Erfüllung eines Vertrages nicht mehr abhängig gemacht werden von der Erhebung von Daten, die für den konkreten Vertrag nicht erforderlich sind. Im Hinblick auf die spätere Löschung der erhobenen Daten gelten künftig strengere Löschpflichten für Verantwortliche. Ein zur Löschung verpflichtender Grund ist unter anderen auch der eingelegte Widerspruch des Betroffenen. Zudem muss der Verantwortliche Dritte, an die er die zu löschenden Daten weitergegeben hat, über die Löschpflicht informieren.
Zusammenfassend lässt sich feststellen, dass die DSGVO den Datenschutz auf europäischer Ebene verstärkt, was gleichzeitig zu einem erheblichen Mehraufwand für Wirtschaftsunternehmen führt. Insbesondere im Hinblick auf die verschärfte Haftung sowie die Höhe möglicherweise drohender Bußgelder sollten die nötigen Änderungen ernst genommen und zügig umgesetzt werden.
Artikel veröffentlicht am: 12. Mai 2017
Quellen:
Kort, Eignungsdiagnose von Bewerbern unter der Datenschutz-Grundverordnung (DS-GVO), NZA-Beilage 2016, 62
Kehr, EU-Datenschutz-Grundverordnung – Überblick über die wesentlichen Modifizierungen für Unternehmen, CB 2016, 421
Im Rahmen einer Telefonaktion von Focus Online haben wir verschiedene Nutzerfragen zu den Neuerungen der DSGVO zusammengetragen und beantwortet.
