Skip to main content

Vier Jahre lang heftig diskutiert, wurde sie dann doch verabschiedet: Am 21. Mai 2016 in Kraft getreten, gilt die EU-Datenschutzgrundverordnung seit dem 25. Mai 2018. Ob sie wirklich strenger als das bisherige deutsche Recht ist, kommt auf den Blickwinkel des Einzelnen an. Für Unternehmen gab es wichtige Änderungen – habt ihr alle umgesetzt?

1. Hohe Bußgelder sollen abschrecken

Bei den Sanktionen macht Brüssel nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Hält sich ein Unternehmen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, etwa bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden.

2. Persönliche Haftung

Bislang konnte der Datenschutzbeauftragte auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz nur hinwirken. Jetzt verlangt die EU-DSGVO die Überwachung, dass alle Vorgaben und Regeln auch eingehalten werden. Solltet ihr also noch keine Datenschutzbeauftragten in eurem Unternehmen haben, ist das lange überfällig.

3. Nachweispflicht und Unterrichtung

Wie bisher mussten Unternehmen wirksame Datenschutzrichtlinien einführen und ihre MitarbeiterInnen schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Dies macht ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management notwendig. Unternehmen müssen außerdem betroffene Personen über deren Datenverarbeitung früher und umfassender informieren.

EXTRA: Ein Jahr DSGVO: Welche Folgen hatten die Regelungen?

4. Datenschutz-Folgeabschätzung

Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Ziel ist es, Grundrechtsverletzungen zu verhindern. Sind also hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zu befürchten, müssen Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.

Mehr Schutz für betroffene Personen

Datenschutz klingt vordergründig als müssten Daten geschützt werden. Dabei geht es vielmehr um den Schutz der Personen, welche diese Daten „verursachen“. Aus diesem Grund ist es nur logisch, dass die jetzige EU-DSGVO insbesondere die Rechte der betroffenen Personen stärkt. An erster Stelle sei das „Recht auf vergessen werden“ genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können.

Die Pflicht zur Datenübergabe

Ein weiteres neues Recht stellt die Datenportabilität dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Diese Datenportabilität gilt beispielsweise auch, wenn ein Arbeitsverhältnis endet.

EU-DSGVO: Habt ihr gehandelt?

Diese Maßnahmen solltet ihr spätestens seit Mai 2018 getroffen haben, um auf die aktuelle EU-DSGVO vorbereitet zu sein:

  • Prüft, welche Bereiche vom Abrechnungs- bis zum Warenwirtschaftssystem von der jetzigen Gesetzgebung betroffen sind.
  • Erstellt einen Plan, was wann zu tun ist, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden.
  • Plant eure Ressourcen – sowohl im Hinblick auf MitarbeiterInnen als auch auf das Budget.
  • Das jetzige Datenschutzgesetz sieht umfassende Rechenschafts- und Dokumentationspflichten vor. Überlegt, wie ihr dies zukünftig gewährleisten könnt.

Regina Mühlich

Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!

Leave a Reply