Die Uhr tickt – Das neue Datenschutzzeitalter kommt!
Die neue Datenschutzgrundverordnung tritt in Kraft
Ab dem 25. Mai 2018 beginnt ein neues Zeitalter im Datenschutzrecht. An diesem Tag tritt die Datenschutzgrundverordnung (DS-GVO) der Europäischen Union zeitgleich mit einem neuen Bundesdatenschutzgesetz (BDSG- neu) in Kraft.
1. Hintergrund des neuen Datenschutzrechts
In der EU besteht bislang ein „Datenschutzflickenteppich“. Das heißt, jedes EU-Land kocht gewissermaßen „sein eigenes Süppchen“. Ein Harmonisierungseffekt, also die Vereinheitlichung des Datenschutzrechts in Gesamteuropa, blieb trotz der noch bestehenden Datenschutzrichtlinie aus.
Aus diesem Grund schuf der Europäische Gesetzgeber die DS-GVO, welche unmittelbar in allen EU-Staaten gilt und demnach keines eigenständigen Umsetzungsaktes in nationales Recht mehr bedarf.
Ein wesentlicher Katalysator für die DS-GVO waren auch die Enthüllungen des Whistleblowers Snowden. Zudem sollen durch die DS-GVO die Datenkraken Facebook, Google & Co. in den Griff bekommen werden.
2. Was ist neu?
- Neu ist die sog. Rechenschaftspflicht nach Art. 5 Absatz 2 DS-GVO. Danach ist der Verantwortliche, also das Unternehmen, für die Einhaltung der Datenschutzgrundsätze nach Art. 5 Absatz 1 DS-GVO verantwortlich und muss dessen Einhaltung auch nachweisen können.
- Die DS-GVO sieht außerdem eine Stärkung der Betroffenenrechte vor. Neben den bislang bekannten Betroffenenrechte (Recht auf Auskunft, Berichtigung, Löschung, Sperrung, Widerspruch) kommen das Recht auf Vergessenwerden (Art. 17 Absatz 2 DS-GVO) und das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) hinzu.
- Nicht ganz neu ist das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO). Der Verantwortliche ist zur Führung eines Verzeichnisses über alle Datenverarbeitungstätigkeiten verpflichtet.
- Weiter bestehen neue Anforderungen an die Einwilligungserklärung.
- Ebenso bestehen Neuregelungen hinsichtlich der Auftragsdatenverarbeitung.
- Der Aufgabenbereich des Datenschutzbeauftragten hat sich geändert (Art. 39 DS-GVO).
- Neu ist zudem die sog. Datenschutzfolgenabschätzung nach Art. 35 DS-GVO. Sie löst das alte Instrument des BDSG-alt, die sog. Vorabkontrolle (§ 4d Absatz 5 BDSG-alt), ab.
- Schließlich wurden die Bußgeldtatbestände erweitert und verschärft.
3. Bußgelder
- Nach Art. 83 Absatz 4 DS-GVO können bei Verstößen gegen bestimmte Pflichten aus der DS-GVO Geldbußen von bis zu € 10.000.000 oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
- Nach Art. 83 Absatz 5 DS-GVO können bei Verstößen gegen bestimmte Pflichten aus der DS-GVO Geldbußen von bis zu € 20.000.000 oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
4. Fazit
Es besteht in allen Unternehmen Anpassungsbedarf.
Erforderlich ist zunächst eine Gap-Analyse, in welcher der Ist- mit dem Soll-Zustand verglichen wird.
Außerdem muss sich der Verantwortliche über eine geeignete Strategie zur Risikoreduzierung Gedanken machen. Formulare, insbesondere Datenschutzbestimmungen, Auftragsdatenverarbeitungsverträge und Einwilligungsformulare, müssen an die neue Rechtslage angepasst werden. Soweit dies noch nicht geschehen ist, muss auch ein Verarbeitungsverzeichnis erstellt oder ein bereits Bestehendes angepasst werden.
Hat sich Ihr Unternehmen schon mit der neuen Rechtslage auseinandergesetzt?
Wir helfen Ihnen gerne dabei. (hier klicken)
Dr. Carl & Partner mbB Wirtschaftsprüfer I Steuerberater I Rechtsanwälte in Ansbach und Feuchtwangen
ViSdP: Dr. Florian Körber, c/o Dr. Carl & Partner mbB Wirtschaftsprüfer I Steuerberater I Rechtsanwälte, Promenade 18, 91522 Ansbach