Copy
E-Mail im Browser ansehen

Die neue Datenschutz-Grundverordnung (DSGVO): 

Inkrafttreten

Die neue Verordnung, die am 25. Mai 2018 in allen Ländern der Europäischen Union in Kraft tritt und die bisherige EU-Richtlinie von 1995 ersetzt, soll den Bürgern mehr Kontrolle über die Verwendung ihrer personenbezogenen Daten geben. Im Vordergrund steht der Schutz natürlicher Personen. Die Rechte im Hinblick auf Verwendung, Speicherung und Übertragung ihrer personenbezogenen Daten werden in einem stark veränderten digitalen Umfeld gestärkt.

Die bestehenden europäischen Datenschutzgesetze stammen noch aus einer Zeit vor dem sprunghaften Anstieg der Internetnutzung und Datenspeicherung und -verarbeitung. Im Zeitalter der Digitalisierung war daher eine grundlegende Aktualisierung und Modifizierung der rechtlichen Anforderungen an den Datenschutz erforderlich. 

Nachfolgend werden die wichtigsten Änderungen, die sich für die betroffenen Unternehmen ergeben, kurz erläutert:

Transparenz und Verständlichkeit

Nach Erwägungsgrund 58 der EU-DSGVO sollen alle für die Öffentlichkeit oder für betroffene Personen bestimmte Informationen präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein.
 

Anpassung von Verträgen zur Auftragsdatenverarbeitung 

Bisher war nach § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung erforderlich, wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten erhoben, verarbeitet oder genutzt hat. Dieser wird nun durch zwei neue Artikel (28,29) der EU-DSGVO ersetzt. Verträge zur Auftragsdatenverarbeitung sind damit an die Vorgaben der neuen Verordnung anzupassen.
 

Internetauftritt

Nach Art. 25 EU-DSGVO ist Datenschutz durch die Gestaltung technischer Abläufe und durch datenschutzfreundliche Voreinstellungen zu gewährleisten. Konkret heißt dies, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung zu beachten ist und die Voreinstellungen von Online-Diensten so zu wählen sind, dass möglichst wenig personenbezogene Daten erhoben werden.
 

Verzeichnis der Verarbeitungstätigkeiten

Mit der EU-DSGVO (Art. 30) wird das bisherige Verfahrensverzeichnis durch ein Verzeichnis der Verarbeitungstätigkeiten (VVT) abgelöst. Unternehmen mit weniger als 250 Mitarbeitern benötigen kein Verarbeitungsverzeichnis, sofern die Datenverarbeitung nur ein geringes Risiko für die Rechte und Freiheiten betroffener Personen birgt, keine sensiblen Daten verarbeitet werden und die Datenverarbeitung nur gelegentlich erfolgt. In den allermeisten Fällen wird jedoch von einer regelmäßigen Datenverarbeitung auszugehen sein, so dass ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen ist.
 

Datenschutzkonformität

Nach der Datenschutz-Grundverordnung sind Unternehmen verpflichtet, bei der Verarbeitung personenbezogener Daten geeignete und wirksame Maßnahmen zu treffen, damit diese Verarbeitungen im Einklang mit der EU-DSGVO stehen. Die Datenschutzkonformität muss durch das Unternehmen jederzeit nachgewiesen werden können. Die beständige Überprüfung und Aktualisierung macht eine Integration des Datenschutzes in das Betriebsführungssystem erforderlich.
 

Datenschutzbeauftragter

Unternehmen müssen unter folgenden Voraussetzungen einen Datenschutzbeauftragten benennen:
  • Im Unternehmen besteht eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen oder eine umfangreiche Verarbeitung besonderer Kategorien personenbezogenen Daten, z. B. hinsichtlich Religion, ethnische Zugehörigkeit etc. (EU-DSGVO Art. 37).
  • Im Unternehmen sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, nehmen Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung unterliegen oder verarbeiten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung personenbezogene Daten (BDSG § 38).

Sollte sich ein Unternehmen nicht an die Vorgaben halten, sind Sanktionen bis 20.000.000 € oder 4 % des weltweiten Vorjahresumsatzes möglich. Hatte der Datenschutzbeauftragte bislang nur die Aufgabe, auf die Einhaltung des Datenschutzes hinzuwirken, obliegt ihm zukünftig die Aufgabe, die Einhaltung des Datenschutzes zu überwachen. Die Kontaktdaten des Datenschutzbeauftragten müssen nach Art. 37 Abs. 7 EU-DSGVO veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.

ACHTUNG: Bei Verstößen steigt nun das Haftungsrisiko nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen im Umgang mit personenbezogenen Daten drohen über Geldbußen hinaus gar strafrechtliche Sanktionen wie Freiheitsstrafen (§ 42 DSAnpUG).
 

Verpflichtung auf das Datengeheimnis

Nach dem alten Bundesdatenschutzgesetz (§ 5) waren die mit der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis zu verpflichten. Diese Pflicht wird sich in der neuen Verordnung (Art. 28) und dem neuen Bundesdatenschutzgesetz (§ 53) wiederfinden. Die Verpflichtungen sind dementsprechend anzupassen.
 

Einwilligungserklärung

Mit der EU-DSGVO werden deutlich erhöhte Anforderungen an die Einwilligung gestellt. So ist der Betroffene insbesondere nach Art. 7 Abs. 3 EU-DSGVO über die freie Widerruflichkeit seiner Einwilligung vorab zu unterrichten. Zudem muss im Rahmen der neuen Verordnung in der Datenschutzerklärung auf dieses Widerrufsrecht hingewiesen werden. Einwilligungs- und Datenschutzerklärungen sind also insoweit anzupassen.

ACHTUNG: Eine nach bisher geltendem Recht rechtswirksame eingeholte Einwilligung gilt auch nach dem 25.05.2018 fort. Soll jedoch nach dem 25.05.2018 eine Einwilligung beim Betroffenen eingeholt werden, muss die Einwilligungserklärung den oben dargestellten Grundsätzen entsprechen.
 

Datenschutz-Folgeabschätzung (DSFA)

Soll ein neues Verfahren der Datenverarbeitung eingesetzt werden, das mit einem hohen Risiko für die Betroffenen verbunden ist, ist künftig eine Folgenabschätzung vorzunehmen (Art. 35 EU-DSGVO). Diese ist mit dem Datenschutzbeauftragten abzustimmen und ersetzt die bisherige Vorabkontrolle. Stellt sich ein hohes Risiko für die Betroffenen heraus und werden keine Maßnahmen zur Risikoeindämmung getroffen, ist die zuständige Aufsichtsbehörde zu informieren.

Art. 35 Abs. 7 EU-DSGVO regelt den typischen Ablauf einer DSFA. Im Unternehmen sollte also ein entsprechendes Muster für einen Meldeprozess im Sinne der DSFA vorliegen, um die Risikobewertung durchzuführen, ebenso wie ein Meldebogen für die Behörde.
 

Vorgehen bei einer Datenpanne

Eine Datenpanne ist innerhalb von 72 Std. der Aufsichtsbehörde zu melden. Diese Meldung muss nach Art. 33 Abs. 3 EU-DSGVO bestimmte Informationen zur Art und den wahrscheinlichen Folgen der Verletzung beinhalten. Zudem sind Sie verpflichtet, betroffene Personen über Datenpannen zu informieren.
 

Löschen personenbezogener Daten

Personenbezogene Daten müssen unverzüglich gelöscht werden können (Art. 17 EU-DSGVO). Das bedeutet: Unternehmen müssen einen Prozess entwickeln, um dieses „Recht auf Vergessen werden“ zu gewährleisten.
 

Anpassung aktueller Betriebsvereinbarungen

In der neuen Verordnung (Art. 88) wird auch die Datenverarbeitung im Beschäftigungskontext geregelt. Damit betrifft diese Regelung insbesondere Betriebsvereinbarungen. Dabei wird klargestellt, dass Betriebsvereinbarungen zwar über das Datenschutzniveau der EU-DSGVO hinausgehen können, dieses aber nicht unterschreiten dürfen.

Des Weiteren ist die Transparenz der Verarbeitung zu berücksichtigen. So muss in den Betriebsvereinbarungen nun ausdrücklich auf die Rechte der betroffenen Arbeitnehmer eingegangen werden.
 

Folgen bei Verstößen gegen die DSGVO

Bereits seit 2012 sind bei schwerwiegenden Verstößen Bußgelder bis zu einer Höhe von 20.000.000 € möglich.

Die von der Datenschutzbehörde verhängten Bußgelder sollen dabei „verhältnismäßig, wirksam und abschreckend“ sein. Das Bußgeld ist dabei „pro Fall“ und „für jeden Verstoß“ möglich.
 

Fazit

Bei der Vielzahl der Verpflichtungen, die sich aus der DSGVO ergeben, den Generalklauseln, die einen weiten Auslegungsspielraum erlauben und den hohen Bußgeldern, die verhängt werden können, ergeben sich durch die neue DSGVO große Risiken für die Unternehmen.

Die Unternehmen sollten daher eine Analyse des Datenschutz-Ist-Zustands vornehmen, in Form eines Gap-Reports Lücken aufzeigen und diese im Rahmen des Compliance Management Systems schließen.

Spezialisierte Anwaltskanzleien bieten bei Bedarf eine umfassende juristische Beratung und schnelle Unterstützung.  

Mangels einer generellen Versicherungslösung für Unternehmen und die persönlichen Haftungsrisiken der Entscheidungsträger sind die sich aus der DSGVO ergebenden Risiken (z. B. Managerhaftung aus Organisations-, Kontroll- oder Auswahlverschulden / strafrechtliche Vorwürfe / Cyberrisiken) individuell zu ermitteln und im Rahmen einer ganzheitlichen Analyse abzusichern.   

Gerne unterstützen wir Sie dabei.

Kontaktieren Sie  uns!
 089 189 55 10-10 guido.lange@mrh-trowe.com
Mit besten Grüßen
Ihr MRH Trowe-Team
www.mrh-trowe.com
Copyright © 2022 MRH Trowe Financial Lines GmbH, All rights reserved.

MRH Trowe Financial Lines GmbH
Ottostraße 19
80333 München
Telefon: +49 89 1895510-10