Der Countdown läuft

EU-Datenschutzgrundverordnung

Am 25. Mai 2018 wird das bisherige Bundesdatenschutzgesetz (BDSG) durch die neue EUDatenschutzgrundverordnung (DSGVO) abgelöst. In allen EU-Staaten gelten damit einheitliche Regelungen, das BDSG wird in der neuen Fassung zum bloßen Umsetzungsgesetz.

Die 99 neuen Artikel der DSGVO stellen Unternehmen vor große Herausforderungen. Zwar gelten die bisherigen Grundsätze des BDSG weiter, etwa das Verbot mit Erlaubnisvorbehalt. Allerdings birgt die DSGVO auch eine Fülle neuer Vorgaben.

Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Foto: Dr. Hans Markus Wulf privat

So steht etwa der Cloud-Provider zukünftig direkt gegenüber den Aufsichtsbehörden in der Verantwortung. Unternehmen müssen erweiterte Dokumentations-, Nachweis- und Informationspflichten erfüllen, ein Verfahren zur Datenschutz-Folgenabschätzung implementieren und ein Verarbeitungsverzeichnis mit allen relevanten Systemprozessen erarbeiten. Ferner müssen sie ein Meldeverfahren bei Datenpannen einrichten sowie die eigene Forschung und Entwicklung nach den neuen Grundsätzen „Privacy by Design“ und „Privacy by Default“ ausrichten. Dazu müssen die eigenen Datenstrukturen so verändert werden, dass das neue Recht der Betroffenen auf „Datenübertragbarkeit“ gewährleistet wird und dokumentierte Prozesse aufgesetzt werden, um die erweiterten Rechte der Betroffenen hinsichtlich Auskunft, Löschung, Vergessen etc. erfüllen zu können.

Was passiert, wenn Unternehmen die neue EU-Verordnung nicht rechtzeitig umsetzen?

Für diesen Fall hat der Gesetzgeber eine drastische Erhöhung der Sanktionsmöglichkeiten vorgenommen. Den Aufsichtsbehörden steht zukünftig ein Sanktionsrahmen von bis zu 20 Mio. Euro oder sogar 4 Prozent des weltweiten Jahresumsatzes pro Einzelfall zur Verfügung. Zugleich werden die nationalen Behörden durch Erwägungsgrund 151 der DSGVO angewiesen, bei der Festsetzung der Bußgelder eine „abschreckende“ Wirkung zu erzielen. Es ist daher davon auszugehen, dass sich die Sanktionspraxis der Aufsichtsbehörden ab Mai drastisch ändern wird.

Unternehmen, die bislang nicht reagiert haben, sollten einen internen Verantwortlichen mit der Umsetzung (siehe Kasten) der neuen DSGVOVorgaben betrauen. Geeignet wäre der Compliance-Officer, denn der Datenschutzbeauftragte hat nur die Aufgabe der Beratung und Kontrolle.

Empfehlungen zur Umsetzung der neuen EU-Datenschutzgrundverordnung (DSGVO):
  • Geschäftsprozesse analysieren
  • Einhaltung der neuen Zulässigkeitsvorgaben überprüfen und dokumentieren
  • Verarbeitungsverzeichnis erstellen
  • Verfahren zur Datenschutz-Folgenabschätzung implementieren
  • vorhandene Einwilligungserklärungen im Unternehmen (z. B. auf der Website) überarbeiten
  • ein Meldeverfahren bei Datenpannen aufsetzen
  • alle Datentransfers zu Konzernunternehmen oder Dritten sowie deren Zugriff auf eigene Systeme analysieren, dokumentieren und per Vertrag rechtlich absichern
  • Datentransfers ins EU-Ausland ermitteln und geeignete Maßnahmen treffen
  • Lösch- und Archivierungskonzepte überarbeiten
  • das neue Recht auf Datenübertragbarkeit technisch umsetze
  • Grundsätze „Privacy by Design“ und „Privacy by Default“ in die Entwicklung integrieren
  • die Datenschutzrichtlinie im Unternehmen überarbeiten

Zur Person:  Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg


Dieser Artikel erschien in der direkt informiert 03/2017. Weitere Artikel aus der Ausgabe lesen Sie hier: direkt informiert 03/2017, Schwerpunkt: Sicherheit