Neue EU-Datenschutzgrundverordnung: Was ändert sich für Unternehmen?

Veröffentlicht am 22. Juli 2016 in der Kategorie Recht & Gesetze von

Themen: ,

Neue EU-Datenschutzgrundverordnung: Was ändert sich für Unternehmen?Vier Jahre lang heftig diskutiert, wurde sie jetzt verabschiedet: Am 21. Mai 2016 in Kraft getreten, gilt die EU-Datenschutzgrundverordnung ab 25. Mai 2018. Ob sie wirklich strenger als das bisherige deutsche Recht ist, kommt auf den Blickwinkel des Einzelnen an.

1. Hohe Bußgelder sollen abschrecken

Bei den Sanktionen macht Brüssel nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Hält sich ein Unternehmen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden.

2. Persönliche Haftung

Bislang konnte der Datenschutzbeauftragte auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz nur hinwirken. Zukünftig verlangt die EU-DSGVO die Überwachung, dass alle Vorgaben und Regeln auch eingehalten werden.

3. Nachweispflicht und Unterrichtung

Wie bisher müssen Unternehmen wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Dies macht ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management notwendig. Unternehmen müssen künftig außerdem betroffene Personen über deren Datenverarbeitung früher und umfassender informieren.

4. Datenschutz-Folgeabschätzung

Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Ziel ist es, Grundrechtsverletzungen zu verhindern.

Sind also hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zu befürchten, müssen Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.

Mehr Schutz für betroffene Personen

Datenschutz klingt vordergründig als müssten Daten geschützt werden. Dabei geht es vielmehr um den Schutz der Personen, welche diese Daten „verursachen“. Aus diesem Grund ist es nur logisch, dass die neue EU-DSGVO insbesondere die Rechte der betroffenen Personen stärkt.

An erster Stelle sei das neue „Recht auf vergessen werden“ genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können.

Ein weiteres neues Recht stellt die Datenportabilität dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Diese Datenportabilität gilt beispielsweise auch, wenn ein Arbeitsverhältnis endet.

EU-DSGVO: Jetzt schon handeln?

Damit es im Mai 2018 kein böses Erwachen gibt, sind Unternehmen gut beraten, sich bereits jetzt gezielt auf das Inkrafttreten der neuen EU-DSGVO vorzubereiten:

  • Prüfen Sie bereits jetzt, welche Bereiche vom Abrechnungs- bis zum Warenwirtschaftssystem von der neuen Gesetzgebung betroffen sind.
  • Erstellen Sie einen Plan, was wann zu tun ist, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden.
  • Planen Sie Ihre Ressourcen – sowohl im Hinblick auf Mitarbeiter als auch auf das Budget.
  • Das neue Datenschutzgesetz sieht umfassende Rechenschafts- und Dokumentationspflichten vor. Überlegen Sie, wie Sie dies zukünftig gewährleisten können.
  • Beginnen Sie rechtzeitig – einige Arbeitsschritte können schon jetzt umgesetzt werden.

Unter diesem Aspekt betrachtet, werden auch die Herausforderungen der neuen EU-Datenschutzgrundverordnung zu meistern sein.