Die EU-Datenschutz-Grundverordnung
03. April 2017 | IT- und Datenschutzrecht, Marken- und Wettbewerbsrecht
Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt ab dem 25. Mai 2018 die bislang geltenden datenschutzrechtlichen Vorschriften und gilt unmittelbar auch für Unternehmen in Deutschland und deren Verarbeitung personenbezogener Daten.
Unternehmen müssen demnach die Vorgaben der DSGVO und mögliche Auswirkungen sowie Anpassungserfordernisse für die jeweiligen Unternehmensprozesse frühzeitig identifizieren und analysieren. Bei mangelnder Umsetzung drohen Unternehmen erhebliche Sanktionen und nicht zuletzt Bußgelder von bis zu 20 Millionen Euro bzw. bis zu 4 % des globalen (Konzern-)Umsatzes.
Was bleibt?
Die DSGVO hält an den bekannten datenschutzrechtlichen Grundsätzen der Zweckbindung, der Datenminimierung und der Transparenz fest und normiert für die Verarbeitung personenbezogener Daten als Grundprinzip das „Verbot mit Erlaubnisvorbehalt“. Unternehmen dürfen personenbezogene Daten demnach – wie schon nach dem Bundesdatenschutzgesetz – nur verarbeiten, wenn eine Einwilligung des Betroffenen oder eine datenschutzrechtliche Erlaubnisnorm vorliegen.
Was ist neu?
Die DSGVO regelt eine Vielzahl spezieller Prozesse, die in Unternehmen neu implementiert werden müssen. Insbesondere die umfangreichen Informationspflichten bei der Datenerhebung, die erweiterten Dokumentations- und Nachweispflichten, die Vorschriften zur Datenlöschung, zur Datenübertragbarkeit und zum technischen Datenschutz (sog. „Privacy by Design“ und „Privacy by Default“) erfordern Anpassungen der bestehenden Prozesse. Grundlegende Änderungen ergeben sich auch für sog. Auftragsverarbeiter (z. B. IT-Dienstleister), die für ihren Verantwortungsbereich zukünftig stärker in die Pflicht genommen werden, eigene Dokumentationspflichten haben und bei Datenpannen unter Umständen auch direkt gegenüber den Betroffenen auf Schadensersatz haften. Für besonders risikobehaftete Datenverarbeitungsvorgänge (z. B. Videoüberwachung) schreibt die DSGVO die Durchführung einer sog. Datenschutz-Folgenabschätzung vor. Hierbei soll das Unternehmen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken bewerten und unter Umständen auch die zuständige Aufsichtsbehörde konsultieren.
Was ist zu tun?
Schon dieser kurze Beitrag zeigt, was auf Unternehmen zukommen wird. Gerade mit Rücksicht auf die erhöhten Bußgeldrisiken sollte die knappe Zeit bis zur verbindlichen Geltung der DSGVO dringend zur Anpassung der betroffenen Unternehmensprozesse an die teilweise erheblich modifizierten Vorgaben der DSGVO genutzt werden. Unternehmen sollten diese Herausforderung keinesfalls unterschätzen und frühzeitig Projekte zur Umsetzung initiieren und dabei alle relevanten Bereiche im Unternehmen einbeziehen, insbesondere IT, HR/Personal, Vertrieb und Marketing. Vor allem in größeren Unternehmenseinheiten/-gruppen ist die Implementierung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Der Countdown läuft – gehen Sie die Themen am besten gleich an!