Neue Regeln beim Datenschutz

Ab dem 25. Mai 2018 muss die neue EU-Datenschutz-Grundverordnung (DS-GVO) in deutschen Unternehmen angewendet werden.

Ziel der Verordnung ist es, europaweit ein einheitliches Datenschutzniveau zu erreichen. Für bestimmte Bereiche wie den Beschäftigtendatenschutz oder den betrieblichen Datenschutzbeauftragten lässt die Verordnung – im Rahmen von Öffnungsklauseln – den einzelnen Mitgliedstaaten die Möglichkeit nationaler Regelungen. Aus diesem Grund hat der Deutsche Gesetzgeber das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) beschlossen. Dieses Gesetz ist am gleichen Tag wie die DS-GVO, in Kraft getreten löst unser bisheriges Bundesdatenschutzgesetz (BDSG) ab.
Mit der DSGVO wird der Datenschutz nicht neu erfunden. Grundsätzlich bleibt es bei den bisherigen Grundsätzen wie dem Grundsatz der Datenvermeidung, der Datensparsamkeit oder dem Verbotsprinzip mit Erlaubnisvorbehalt. Viele Begriffe der Verordnung sind mit denen im BDSG identisch. Trotzdem ist noch konkret zu klären, wie der jeweilige Begriff aus Sicht der DSGVO zu verstehen ist.
Zu den wesentlichen Neuerungen gehört die Einführung des Marktortprinzips. Das bedeutet, dass auch Unternehmen, die ihren Sitz außerhalb der EU haben, aber Daten von EU-Bürgern für Dienstleistungen in der EU verarbeiten, sich an die DSGVO halten müssen. Außerdem wird die Auftragsdatenverarbeitung einheitlich geregelt und angepasst.
Weiter werden die Rechte der Betroffenen, wie zum Beispiel die Informationsrechte, beim Abhandenkommen der Daten gestärkt, ebenso wie das „Recht auf Vergessen werden“ und ein Schadensersatzspruch gegen den Auftragsverarbeiter. Ferner gibt es ein Recht auf Datenportabilität, also die Möglichkeit, personenbezogene Daten von einem Verarbeiter zu einem anderen zu übertragen.
Für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, wird der One-Stop-Shop-Mechanismus eingeführt. Für diese Unternehmen kommt es zu einer Vereinfachung ihrer datenschutzrechtlichen Angelegenheiten, denn bei grenzüberschreitenden Datenverarbeitungen wird nur eine Aufsichtsbehörde am Hauptsitz des Unternehmens zuständig sein. Überdies werden auch die Dokumentations-, Datensicherungs- und Meldepflichten sowie die Sanktionen bei Datenschutzverstößen deutlich verschärft.
Je nachdem, gegen welche Norm verstoßen wird, muss mit Bußgeldern von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Vorjahresumsatzes oder mit bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Vorjahresumsatzes gerechnet werden. Dabei gilt als Unternehmen jede eine wirtschaftliche Tätigkeit ausübende natürliche oder juristische Person, unabhängig von ihrer Rechtsform. Gerade auch im Hinblick auf die hohen Strafen bei Verstößen gegen den Datenschutz sollten die Unternehmen – besonders auch die kleineren und mittelständischen – sich genau mit den neuen Anforderungen befassen und Anpassungen vornehmen.
Welche Anforderungen sich für Unternehmen durch die EU-Datenschutz-Grundverordnung ergeben sowie eine entsprechende Checkliste finden Sie hier.
Diese Informationen sollen nur erste Hinweise in übersichtlicher Form geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.