DIE NEUE EU-DATENSCHUTZ-GRUNDVERORDNUNG

Die neue EU-Datenschutz-Grundverordnung: Das müssen Sie wissen
#DSGVO #DSGVO für Unternehmen #Datenschutz

Ab dem Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung, kurz DSGVO. Wir beantworten die neun wichtigsten Fragen für Unternehmen.

1. Worum geht es bei der DSGVO?

Die DSGVO ist bereits zum 24. Mai 2016 in Kraft getreten, wird aber erst zum 25. Mai 2018 wirksam, allerdings – und das müssen Unternehmen strengstens beachten – ohne Umsetzungsfrist. Soll heißen: die neuen Regelungen zum Umgang mit personenbezogenen Daten müssen genauestens geprüft und spätestens ab dem 25. Mai 2018 befolgt werden. Sonst drohen Strafen. Als personenbezogene Daten gelten Informationen über identifizierte oder identifizierbare natürliche Personen, zum Beispiel Name, Anschrift, Bankdaten, das Kfz-Kennzeichen, und in vielen Fällen auch die IP-Adresse.

 

2. Was ist das Ziel der DSGVO?

Die Ziele der Verordnung sind zweierlei: Zum geht es darum, in Sachen Datenschutz die vielen nationalen Gesetze, aber auch die diversen europäischen Richtlinien zu verschlanken und zu vereinheitlichen. Zum anderen geht es um den Schutz der betroffenen Personen. Jede natürliche Person soll grundsätzlich selbst über die Offenlegung, über den Umfang und über die damit einhergehende Verwendung der für sie relevanten Daten bestimmen können.

 

3. Für welche Unternehmen gilt die Verordnung?

Prinzipiell für alle Unternehmen in der EU, die personenbezogene Daten verarbeiten, sprich Mitarbeiter- und Kundendaten. Allerdings gilt die Regelung auch für Unternehmen außerhalb der EU, die in ihrem Geschäftsfeld Daten von EU-Bürgern verarbeiten. Es gibt nur ganz wenige Ausnahmen, da auch bereits ein Handwerkerbetrieb Kundendaten wie Adresse und Kontoverbindung im System hat.

 

4. Was sind die wichtigsten Vorgaben

Die DSGVO gibt vor, dass Daten nur verarbeitet werden dürfen, wenn auch eine rechtliche Grundlage besteht, beziehungsweise das Unternehmen die Einwilligung der betroffenen Person hat. Dies ist bereits geltendes Recht. Zum Mai 2018 wird aber die Dokumentationspflicht der Unternehmen erweitert. Unternehmen werden nun beweispflichtig, dass die Daten rechtmäßig verarbeitet werden. Außerdem neu: der Datenschutz durch Technikgestaltung. Soll heißen, dass neue Produkte bereits in der Gestaltung den Prinzipien des Datenschutzes folgen. So muss zum Beispiel Software per Voreinstellung datenschutzfreundlich sein.

Ferner werden die Informationspflichten gegenüber den Betroffenen ausgeweitet, hier im Besonderen das Recht auf Datenportabiliät. Unternehmen müssen betroffenen Personen ihre Daten in einem maschinenlesbaren, gängigen Format aushändigen können, um Kunden so den Weg zu einem anderen Unternehmen zu erleichtern.

Nach wie vor brauchen Unternehmen einen Vertrag für die Datenverarbeitung, also Dokumente über die Personen der Verarbeitung ihrer Daten einwilligen (das sind auch Abschlussverträge von Produkten wie etwa ein Mobilfunkvertrag). Die Betroffenen, also die Personen, deren Daten verarbeitet werden, können sich jetzt nicht mehr nur an den Auftragnehmer, also die Unternehmen, wenden, sondern auch an dritte, involvierte Parteien, wie zum Beispiel einen Cloud-Dienst.

 

5. Was sind die Pflichten für die Unternehmensführung?

Die oberen Etagen in Unternehmen müssen sich um die Organisation des Datenschutzes kümmern. Ab zehn Mitarbeiter ist ein Datenschutzbeauftragter verpflichtend, wobei diese Aufgabe auch eine externe Person übernehmen kann. Ferner sollte die Unternehmensführung die Fachbereiche anweisen, wie sie mit dem Datenschutzbeauftragten zusammenzuarbeiten hat. Jedes Unternehmen braucht ein Verarbeitungsverzeichnis, also eine Übersicht in der Software wo alle relevanten Datenverarbeitungsprozesse aufgeführt sind und wer dafür verantwortlich ist. Umfragen zeigen aber, dass das bislang nur in der Hälfte der Unternehmen der Fall ist.

 

6. Gibt es Handlungsempfehlungen für Unternehmen zur Vorbereitung auf die neue Rechtslage? 

Die Aufsichtsbehörden stocken auf und es ist damit zu rechnen, dass sie bald prüfen, was man in Richtung DSGVO bereits gemacht hat. Zumindest sollte man als Unternehmen einen Plan für die Umsetzung der Verordnung vorlegen können. Man sollte schnellstens an diese Thematik rangehen. Je komplexer die Datenverarbeitung, je mehr Niederlassungen ein Unternehmen hat, desto länger wird es dauern. Es ist ein großer organisatorischer Aufwand, bei dem ein halbes Jahr nicht viel Zeit ist.

 

7. Welche Strafen drohen bei Nichteinhaltung der DSGVO?

Bislang lag die Strafgrenze bei 300 000 Euro. Der neue Katalog jedoch sieht bis zu vier Prozent des weltweiten Jahresumsatzes vor. Nach Lesart der Behörde betrifft das nicht nur den Umsatz der einzelnen Gesellschaft, sondern des gesamten Konzerns. Die Strafen können also schnell in den Bereich der Millionen liegen, was das Risiko erwischt zu werden, durchaus verschärft.

 

8. Was sind die Nachteile? 

Auf die Unternehmen kommt einiges an Mehraufwand zu: Mehr Dokumentationsarbeit, großflächige Umstellung, genauere Einwilligungsabfrage.

 

9. Gibt es bei der DSGVO auch Vorteile für Unternehmen? 

Durch die Vereinheitlichung haben nun alle Unternehmen die gleiche Rechtslage. Bislang war die Rechtslage für Unternehmen mit vielen Niederlassungen oder Kunden in verschiedenen Ländern sehr komplex. Die Vereinfachung zeigt außerdem den positiven Nebeneffekt, dass sich auch amerikanische und andere internationale Unternehmen an ihr orientieren.