Endspurt Datenschutz-Grundverordnung – Was ändert sich für Unternehmer?

EU-DSGVO: Was ändert sich?
Die EU-Datenschutzgrundverordnung (EU-DSGVO oder nur DSG-VO) ist eine Verordnung der Europäischen Union. Sie hat zum Ziel, den Datenschutz in Europa zu vereinheitlichen und somit gleiche Datenschutzstandards für alle Mitgliedsstaaten zu schaffen. Die Grundverordnung tritt am 25. Mai 2018 vollumfänglich in Kraft. Die DSG-VO gibt den Rahmen des europäisch vereinheitlichen Datenschutzrechts vor, allerdings dürfen die Nationalstaaten an einigen Stellen durch nationale Regelungen (z.B. das BDSG-neu) eigene Regelungen mit einführen.

Ich habe für hier die wichtigsten Inhalte der EU-Datenschutzgrundverordnung zu Ihrer Information zusammengefasst:

Nutzer- und Verbraucherrechte stärken:
Die DSG-VO legt Schwerpunkte unter anderem bei der Informationspflicht gegenüber den Dateninhabern, bei der Datenübertragbarkeit, beim Arbeitnehmerdatenschutz, dem „Recht auf Vergessen“ und bei verschärften Anforderungen im Bereich der Auftragsdatenverarbeitung. Insbesondere gelten hier die Grundsätze der Datensparsamkeit und des Verbotes mit Erlaubnisvorbehalt.

Erhöhte Bußgelder mit der neuen DSG-VO:
Mit Geldbußen von bis zu 20 Millionen EURO, beziehungsweise 4% des gesamten Jahresumsatzes eines Unternehmens pro Datenrechtsverstoß erlangt das Datenschutzrecht für die Unternehmen zukünftig höchste Priorität.

Verfahrensverzeichnisse:
Für die Unternehmen besteht die Pflicht zur Führung von Verzeichnissen, in denen alle Verfahren erfasst sind, bei denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis muss den Aufsichtsbehörden auf Nachfrage vorgelegt werden.

Veröffentlichungs- und Anzeigepflicht der Bestellung eines Datenschutzbeauftragten:
Unternehmen die einen Datenschutzbeauftragen bestellt haben müssen die Kontaktmöglichkeiten zu diesem veröffentlichen, dies kann u.a. im Impressum auf der Webseite geschehen. Weiterhin muss die Bestellung eines Datenschutzbeauftragten der Aufsichtsbehörde angezeigt werden.

Auftragsverarbeitung:
Der Nutzer kann zukünftig bei Auftragsverarbeitung beispielsweise die Realisierung der Informationspflicht auch direkt vom Auftragsverarbeiter einfordern, weil die DSG-VO hier von einer „Joint Control“ ausgeht, die Auftraggeber und Auftragsverarbeiter gegenüber dem Dateninhaber bei der Auftragsdatenverarbeitung haben. Somit werden hier künftig auch die Auftragsverarbeiter verstärkt in die Pflicht genommen.

Datenportabilität:
Nach Art. 20 DSG-VO hat der Nutzer zukünftig eine Recht auf Datenübertragbarkeit. Er kann verlangen, dass seine Daten von einer verantwortlichen Stelle auf die andere in einem gängigen Format übertragen werden. Wie diese Vorschrift der EU-Datenschutzgrundverordnung in der Praxis umgesetzt werden soll, ist angesichts verschiedener Daten- und Verarbeitungsformate noch sehr umstritten.

Datenschutzfolgenabschätzung:
Mit der Datenschutzfolgenabschätzung muss das Unternehmen zukünftig in einer Vielzahl von Fällen proaktiv die Aufsichtsbehörde kontaktieren und die möglichen datenschutzrechtlichen Auswirkungen einer vorgesehenen Maßnahme in der Folgenabschätzung darlegen.

Die Rechenschaftspflicht:
Die EU-DSGVO gibt jetzt in Art 5 auch eine Rechenschaftspflicht. Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Besondere personenbezogene Daten:
Besondere Regelungen gelten auch für alle, die mit besonderen personenbezogenen Daten arbeiten (z.B. gesundheitsbezogene Daten), so muss hier teilewiese auch bei wenigen Mitarbeitern bereits ein Datenschutzbeauftragter bestellt werden.

Datenschutzrechtliche Kontrolle außereuropäischer Unternehmen:
Für die Geltung der DSG-VO reicht es aus, dass die Verarbeitungstätigkeiten zur Tätigkeit einer EU-Niederlassung des Verantwortlichen gehören oder ein Auftragsverarbeiter für diesen die Datenverarbeitung vornimmt. Das Verarbeiten der Daten selbst muss nicht in der EU stattfinden. Folglich wird es zukünftig vielfach unstreitig sein, dass auch US-Unternehmen dem europäischem Datenschutzrecht unterliegen, sofern die oben genannten Voraussetzungen gegeben sind. Wer die Europäische Union als Markt benutzt, ist somit an die europaweit geltenden Datenschutzregelungen in Zukunft gebunden. Dabei wird auch die datenschutzrechtliche Kontrolle auf außereuropäische Unternehmen verstärkt: Sie müssen einen Vertreter anbieten, der als Anlaufstation für die Aufsichtsbehörden fungiert. Alle Unternehmen werden in diesem Kontext unter Umständen auch zu verbraucherfreundlichen Voreinstellungen bei technischen Vorrichtungen verpflichtet. Dies kann zum Beispiel durch Maßnahmen erfolgen, die die Verarbeitung personenbezogener Daten minimieren.

Fazit:
Die Datenschutzgrundverordnung ändert zwar einiges am Datenschutzrecht. Da in Deutschland aber bereits bisher ein recht hohes Datenschutzniveau galt, kommen auf die Unternehmen hier nicht so viele Änderungen zu wie in einigen anderen EU-Mitgliedstaaten. Die Unternehmer aus Deutschland sind hier also im Vorteil, wenn Sie sich bisher schon um den Datenschutz gekümmert haben.

Gerne berate ich Sie individuell, nehmen Sie mit mir Kontakt auf.

2 Gedanken zu „Endspurt Datenschutz-Grundverordnung – Was ändert sich für Unternehmer?“

Kommentare sind geschlossen.