Der Countdown läuft
EU-Datenschutzgrundverordnung
Am 25. Mai 2018 wird das bisherige Bundesdatenschutzgesetz (BDSG) durch die neue EUDatenschutzgrundverordnung (DSGVO) abgelöst. In allen EU-Staaten gelten damit einheitliche Regelungen, das BDSG wird in der neuen Fassung zum bloßen Umsetzungsgesetz.
Die 99 neuen Artikel der DSGVO stellen Unternehmen vor große Herausforderungen. Zwar gelten die bisherigen Grundsätze des BDSG weiter, etwa das Verbot mit Erlaubnisvorbehalt. Allerdings birgt die DSGVO auch eine Fülle neuer Vorgaben.

Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Foto: Dr. Hans Markus Wulf privat
So steht etwa der Cloud-Provider zukünftig direkt gegenüber den Aufsichtsbehörden in der Verantwortung. Unternehmen müssen erweiterte Dokumentations-, Nachweis- und Informationspflichten erfüllen, ein Verfahren zur Datenschutz-Folgenabschätzung implementieren und ein Verarbeitungsverzeichnis mit allen relevanten Systemprozessen erarbeiten. Ferner müssen sie ein Meldeverfahren bei Datenpannen einrichten sowie die eigene Forschung und Entwicklung nach den neuen Grundsätzen „Privacy by Design“ und „Privacy by Default“ ausrichten. Dazu müssen die eigenen Datenstrukturen so verändert werden, dass das neue Recht der Betroffenen auf „Datenübertragbarkeit“ gewährleistet wird und dokumentierte Prozesse aufgesetzt werden, um die erweiterten Rechte der Betroffenen hinsichtlich Auskunft, Löschung, Vergessen etc. erfüllen zu können.
Was passiert, wenn Unternehmen die neue EU-Verordnung nicht rechtzeitig umsetzen?
Für diesen Fall hat der Gesetzgeber eine drastische Erhöhung der Sanktionsmöglichkeiten vorgenommen. Den Aufsichtsbehörden steht zukünftig ein Sanktionsrahmen von bis zu 20 Mio. Euro oder sogar 4 Prozent des weltweiten Jahresumsatzes pro Einzelfall zur Verfügung. Zugleich werden die nationalen Behörden durch Erwägungsgrund 151 der DSGVO angewiesen, bei der Festsetzung der Bußgelder eine „abschreckende“ Wirkung zu erzielen. Es ist daher davon auszugehen, dass sich die Sanktionspraxis der Aufsichtsbehörden ab Mai drastisch ändern wird.
Unternehmen, die bislang nicht reagiert haben, sollten einen internen Verantwortlichen mit der Umsetzung (siehe Kasten) der neuen DSGVOVorgaben betrauen. Geeignet wäre der Compliance-Officer, denn der Datenschutzbeauftragte hat nur die Aufgabe der Beratung und Kontrolle.
Zur Person: Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg
Dieser Artikel erschien in der direkt informiert 03/2017. Weitere Artikel aus der Ausgabe lesen Sie hier: direkt informiert 03/2017, Schwerpunkt: Sicherheit