Ratgeber

DS-GVO – Was bleibt?

Die DS-GVO hält an den bekannten datenschutzrechtlichen Grundsätzen der Zweckbindung, der Datenminimierung und der Transparenz fest und normiert für die Verarbeitung personenbezogener Daten als Grundprinzip das „Verbot mit Erlaubnisvorbehalt“.

Unternehmen dürfen personenbezogene Daten demnach nur verarbeiten, wenn eine Einwilligung des Betroffenen oder eine datenschutzrechtliche Erlaubnisnorm (Art. 6 DS-GVO) vorliegt.

DS-GVO – Was ist neu?

Mit der DS-GVO werden die Auflagen zum Datenschutz für Unternehmen verschärft.

Zu den wesentlichen Neuerungen gehört die sogenannte Rechenschaftspflicht, wonach die Geschäftsleitung eines Unternehmens für die Einhaltung sämtlicher Vorgaben der DS-GVO verantwortlich und nachweispflichtig ist (sog. „Accountability“). Dahinter verbirgt sich eine Umkehr der Beweislast – ein wirksames und dokumentiertes Datenschutz-Managementsystem muss bei Vorfällen und Überprüfungen nachgewiesen werden können.

Zudem erfordern die umfangreichen Informationspflichten bei der Datenerhebung, die Vorschriften zu den Betroffenenrechten (z. B. Recht auf Auskunft, Datenlöschung und Datenübertragbarkeit) und zum technischen Datenschutz (sog. „Privacy by Design“ und „Privacy by Default“) Anpassungen der bestehenden Prozesse.

Grundlegende Änderungen ergeben sich auch für sogenannte Auftragsverarbeiter (z. B. IT-Dienstleister).

Für besonders risikobehaftete Datenverarbeitungsvorgänge (z. B. Videoüberwachung) schreibt die DS-GVO die Durchführung einer sogenannten Datenschutz-Folgenabschätzung vor. Hierbei soll das Unternehmen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken bewerten und unter Umständen auch die zuständige Aufsichtsbehörde konsultieren.

Sie werden für ihren Verantwortungsbereich zukünftig stärker in die Pflicht genommen, haben eigene Dokumentationspflichten und haften bei Datenpannen unter Umständen auch direkt gegenüber den Betroffenen auf Schadensersatz. Schließlich sind Datenschutzpannen in, für die Datenschutzbehörden, nachvollziehbarer Weise zu dokumentieren und möglichst binnen 72 Stunden ab Kenntnis der zuständigen Aufsichtsbehörde zu melden.

DS-GVO – Was ist zu tun?

Bei mangelnder Umsetzung der neuen Vorgaben zum Datenschutz drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro bzw. bis zu 4 % des globalen (Konzern-) Umsatzes.

Daneben werden auch die Schadensersatzansprüche der Betroffenen erweitert. Unternehmen haften zukünftig für alle materiellen und immateriellen Schäden der Betroffenen, die aus einem Verstoß gegen die DS-GVO resultieren.

Gerade mit Rücksicht auf diese erheblichen Sanktionen sollte die knappe Zeit bis zur verbindlichen Geltung der DS-GVO dringend zur Anpassung der betroffenen Unternehmensprozesse genutzt werden. Unternehmen sollten diese Herausforderungen keinesfalls unterschätzen. Ein umfassendes Projekt über alle Unternehmensbereiche ist daher sinnvoll. Insbesondere die Bereiche IT, HR/Personal, Einkauf, Vertrieb und Marketing sind einzubeziehen. Vor allem in größeren Unternehmenseinheiten/-gruppen ist die Implementierung eines umfassenden Datenschutz-Managementsystems zu empfehlen.

Gehen Sie die Themen am besten gleich an!