Seit 25. Mai 2018 gilt die EU Datenschutzgrundverordnung, die den Datenschutz in Europa vereinheitlicht. Datenschutzexperte hat für Sie die wichtigsten Änderungen der EU-DSGVO zusammengefasst sowie in einer Checkliste die wichtigsten Neuerungen auf einen Blick zusammengetragen. Hier lesen Sie, was Sie jetzt noch alles zur EU-DSGVO wissen müssen.
Es ist soweit: Die EU-Datenschutzgrundverordnung (DSGVO) ist da!
Mit dem Stichtag 25. Mai 2018 wird die DSGVO nach zweijähriger Anlaufzeit rechtlich bindend. Erstmals findet der Datenschutz seinen rechtlichen Rahmen auf EU-Gemeinschaftsebene. Auf Unternehmen kommt mit dieser neuen Verordnung im Datenschutz einiges zu. Neuerungen wie die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, ein verschärfter Sanktionsrahmen bei Datenschutzverstößen sowie gesteigerte Dokumentationspflichten sind nur einige der Herausforderungen, mit denen sich Unternehmen jetzt konfrontiert sehen. Auf der anderen Seite freuen sich Privatpersonen und Datenschützer nicht nur über das erstmalig gesetzlich legitimierte Recht auf Vergessenwerden. Schauen Sie sich die folgende Zusammenfassung zu den bedeutsamsten Änderungen der DSGVO an. So erfahren Sie im Überblick, was Sie von unternehmerischer Seite her zum Thema wissen müssen und wo Handlungsprioritäten liegen könnten.
Was ändert sich im Datenschutz mit der DSGVO?
Auch die DSGVO stellt die personenbezogenen Daten in den Fokus der datenschutzrechtlichen Regelungen. Um diese herum baut sie einen umfangreichen Rahmen verschiedener Vorschriften mit Informations-, Löschungs- und Meldepflichten, wie sie in einem gewissen Umfang bereits aus dem alten Bundesdatenschutzgesetz bekannt sind. Im Vergleich mit den bisher geltenden Vorschriften im Datenschutz sind die Änderungen in der DSGVO daher teilweise modifizierend und ergänzend gestaltet. Andere Teile und Definitionen hat es bisher in den nationalen Datenschutzgesetzen so noch nicht gegeben. Unternehmen dürften insbesondere von diesem neuen Datenschutz innerhalb der Änderungen der DSGVO gefordert sein.
Die Basis des neuen Datenschutzes
Grundsätzlich sollten Sie als Unternehmen Folgendes beachten:
Unternehmen müssen aktiv werden!
Insgesamt verlangen die Änderungen der DSGVO von Unternehmen proaktives Handeln im Datenschutz. Unternehmen müssen
organisatorisch
technisch
dokumentierend
vorsorgend und ohne besondere Aufforderung die Datenschutzkonformität sichern. Beispielsweise verlangt die neue Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bereits in der Planung einer besonders risikobehafteten Verarbeitung, dass das Unternehmen Datenaufsichtsbehörden selbstständig kontaktiert.
Mitarbeiter müssen die DSGVO und ihre Regelungen kennen!
In der Umsetzung der Änderungen durch die DSGVO sind die Mitarbeiter besonders gefragt, deshalb kommt Mitarbeiterschulungen jetzt größte Bedeutung zu.
Auch Arbeitnehmer genießen Datenschutz!
Hier gibt es Anpassungen im Arbeitnehmerdatenschutz, die manche Themen besonders heikel machen. Dazu gehören beispielsweise Bewerbungsgespräche über Skype oder bei der Frage, was der Chef wissen und im Arbeitsalltag überwachen darf.
Ihre Checkliste zu 7 wichtigen Änderungen der DSGVO
Stellen Sie zuerst fest, welche Neuerungen der DSGVO Sie betreffen könnten. Prüfen Sie danach anhand der folgenden Punkte, ob Sie im Bereich DSGVO bereits gut aufgestellt sind oder noch Informations- und Anpassungsbedarf besteht. Beachten Sie auch, dass die Verordnung teilweise über Öffnungsklauseln Möglichkeiten für ergänzende Regelungen im Datenschutz auf nationaler Ebene schafft. Zeitgleich mit der DSGVO tritt das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft.
Die wichtigsten Punkte für Ihren DSGVO-Check-Up:
Art. 13 DSGVO Pflichtinformationen in der Datenschutzerklärung
Die Anforderungen an die Informationspflichten in der Datenschutzerklärung einer Website werden durch die DSGVO erheblich erhöht. Beispielsweise gehört es zu den Änderungen der DSGVO, dabei die Rechtsgrundlage für die Datenverarbeitung zu nennen. Da eine Datenschutzerklärung auf der Webseite veröffentlicht wird, sind Datenschutzkonformität oder Mängel an derselben besonders leicht festzustellen, was auch für Wettbewerber des Unternehmens gilt. Es gehört deshalb zu den ersten und wichtigsten Maßnahmen von betroffenen Unternehmen, Ihre Datenschutzerklärung an die DSGVO anzupassen, um Abmahnungen zu vermeiden.
Art. 3 DSGVO Räumlicher Anwendungsbereich
Die EU-Datenschutzgrundverordnung gilt zum einen für Unternehmen, die ihren Sitz in der EU haben, aber auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig werden, beziehungsweise personenbezogene Daten von EU Bürgern verarbeiten.
Bisher sorgte die Problematik der außereuropäischen Anbieter und Datenverarbeitungen immer wieder für Diskussionen. Am Ende musste vielfach gerichtlich entschieden werden, wie Datenschutz dabei zu regeln ist. Hier schafft die DSGVO Rechtsklarheit. Für Unternehmen ist wichtig, dass es für die Anwendung der DSGVO nicht auf den Ort der Datenverarbeitungstätigkeit ankommt.
Art. 7 DSGVO Einwilligung
Wie die bisherige nationale Regelung knüpft die DSGVO an die Rechtmäßigkeit der Datenverarbeitung an. Einer der Tatbestände, die die Rechtmäßigkeit begründen, ist die Einwilligung des Betroffenen. Dabei arbeitet die DSGVO mit einem sogenannten Kopplungsverbot. Da die Einwilligung immer freiwillig erfolgen muss, darf sie nicht mit einem Vertrag verbunden werden, für deren Durchführung keine entsprechende Datenerhebung oder -verarbeitung notwendig wäre.
Ein explizites Kopplungsverbot war bisher im alten Bundesdatenschutzgesetz so nicht vorgesehen. Unternehmen, die beispielsweise Gewinnspiele oder Kaufverträge bisher selbstverständlich mit der Erhebung weiterer personenbezogener Daten zur Durchführung nachfolgender Werbeaktivitäten verbunden haben, müssen nach anderen Wegen suchen.
Art. 83 DSGVO Geldbußen
Die DSGVO droht mit Sanktionen von bis zu 20 Millionen EURO oder bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes.
Die drastische Steigerung der möglichen Geldbußen bei Datenschutzsverstößen (das alte Bundesdatenschutzgesetz setzte hier maximal 300.000 EURO an) gehört ebenfalls zu den einschneidenden Änderungen der DSGVO. Sie unterstreicht die Bedeutung der Datenschutzkonformität für Ihr Unternehmen.
Art. 37 DSGVO Betrieblicher Datenschutzbeauftragter
Auch die DSGVO kennt den betrieblichen Datenschutzbeauftragten (BDSB), der unter ganz ähnlichen Voraussetzungen zu benennen ist, wie im alten Bundesdatenschutzgesetz. Allerdings kommt diesem Datenschutzbeauftragten aufgrund des gesteigerten Pflichtenkreises durch die DSGVO eine höhere Bedeutung zu. Schon wegen der gesicherten Kompetenz und größeren Erfahrung sollten Unternehmen hier vornehmlich in Richtung eines externen BDSB denken.
Art. 28 DSGVO Auftragsverarbeiter
Es gehört ebenfalls zu den Änderungen der DSGVO, dass Auftragsverarbeiter, die im Auftrag des Verantwortlichen Datenverarbeitungen vornehmen, vielfach in den Pflichtenkreis des Verantwortlichen einbezogen werden und selbstständig Verantwortung gegenüber dem Betroffenen tragen. Auch wird dem Verantwortlichen eine hohe Sorgfalt bei der Auswahl des Auftragsverarbeiters abverlangt. Denken Sie in diesem Zusammenhang ebenfalls an die verschärften Meldepflichten bei Datenpannen.
Art. 20 DSGVO Datenübertragbarkeit
Diese Vorschrift setzt innerhalb der Änderungen der DSGVO eine ganze neue Prämisse. Unternehmen müssen sich vor allem technisch und organisatorisch auf eine Anforderung von Betroffenen vorbereiten, deren personenbezogene Daten an einen anderen Verantwortlichen zu übertragen.
Änderungen der DSGVO zwingen zum Handeln
Wenn Ihr Unternehmen wie fast jedes andere von den Neuerungen im EU-Datenschutz betroffen ist, ist datenschutzrechtliche Passivität die schlechteste Strategie. Holen Sie sich gegebenenfalls Expertenrat zur Herstellung der Datenschutzkonformität. Das Team Datenschutzexperte steht Ihnen zur Verfügung.
Artikel veröffentlicht am: 25. Mai 2018