Was ändert sich durch die DSGVO?

DSGVO: Diese Änderungen kommen auf Ihr Business zu.

Europäische Datenschutzgrundverordnung

 

Die umfangreichen Vorschriften der Datenschutzgrundverordnung (DSGVO) bereiten gerade kleinen und mittleren Unternehmen erstmal Anfangsschwierigkeiten. Wo fängt man am besten mit der Umsetzung an? Welche Prozesse muss man im Unternehmen in Gang setzen?
Wie sieht ein DSGVO-konformes Datenschutzmanagement letztendlich aus? Nur eine wenige Fragen, die derzeit Kopfzerbrechen bereiten.
Jetzt ist aber keine Panik angesagt! Viele der datenschutzrechtlichen Konzepte und Prinzipien der DSGVO sind im Großen und Ganzen nicht viel anders als auch bisher unter der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), deren Vorschriften in Deutschland mit dem deutschen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. Wer sich im Unternehmen schon bisher um den Datenschutz gekümmert hat, sollte auch in Zukunft trotz der höheren Sanktionen nicht
viel zu befürchten haben.

 

Wann tritt die EU-Datenschutzgrundverordnung in Kraft?

 

Die EU-Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Nach der darin geregelten Übergangsfrist kommt sie allerdings erst zwei Jahre nach Inkrafttreten zur Anwendung. Das bedeutet, dass sie ab 25. Mai 2018 für alle gilt und deren Einhaltung durch die EU-Datenschutzaufsichtsbehörden
und Gerichte überprüfbar ist. Die zweijährige Übergangsfrist sollte von Unternehmen dringend zur Anpassung der Workflows/Prozesse genutzt werden, da EU-Datenschutzbehörden ab Geltung im Mai 2018 Sanktionen verhängen können, wenn die Vorgaben der DS-GVO nicht oder nicht ausreichend umgesetzt wurden.

 

Wie wirkt die EU-Datenschutzgrundverordnung in Deutschland?

 

Die für Unternehmen einschlägigen Regelungen des BDSG werden weitgehend durch die Regelungen der Verordnung ersetzt. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedsstaaten und bedarf keines nationalen Umsetzungsgesetzes. Die nationalen Gesetzgeber werden lediglich neue Gesetze erlassen, um die nationalen Vorschriften, die durch die Verordnung ersetzt werden, aufzuheben.

Beispiel Datenschutzbeauftragter: Nach bisherigen Aussagen zählt beim Thema Öffnungsklauseln vor allem die Beibehaltung der BDSG-Regelung zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) in Unternehmen mit mehr als neun Angestellten, die über das hinausgeht, was die Verordnung als Mindeststandard vorgibt. Jedes Unternehmen, welches weniger als 9 Beschäftigte hat, sollte prüfen, ob es in die von Art. 37 Abs. 1 DS-GVO genannten Kategorien fällt und einen Datenschutzbeauftragten trotzdem benötigt. Weitere Informationen hierzu finden Sie in unserem Blog-Beitrag Wann ist ein Datenschutzbeauftragter vorgeschrieben?.

 

Was ist gleich geblieben?

 

Der Umgang mit personenbezogenen Daten bleibt auch weiterhin verboten, wenn er nicht entweder durch einen Erlaubnistatbestand der DS-GVO oder sonstigen Rechtsvorschrift (z. B. Spezialgesetzgebung wie Telekommunikationsgesetz (TKG) oder Telemediengesetz (TMG)) erlaubt ist (Grundprinzip Verbot mit Erlaubnisvorbehalt). Die gängigen gesetzlichen Erlaubnistatbestände für die Verarbeitung bleiben erhalten. Allerdings muss das Unternehmen neuerdings den Betroffenen in der Datenschutzerklärung darüber informieren, auf welche Rechtsgrundlage man die Datenverarbeitung stützt.

Die Übermittlung in Drittstaaten wird weitestgehend durch die gängigen Rechtsvorschriften erhalten und sogar noch erweitert durch die DS-GVO. Die DS-GVO hält für international tätige Unternehmen die gleichen Rechtsinstrumente zur Datenübermittlung in Drittstaaten (u. a. Einwilligung, Vertrag, Standardvertragsklauseln, Binding Corporate Rules, Zertifizierung, Codes of Conduct). Wenn Sie mehr zur rechtssicheren Weitergabe von Daten erfahren wollen, lesen Sie hier weiter.

 

Was sind die wichtigsten Änderungen zum aktuellen Datenschutzrecht?

 

Die Löschpflicht wird erweitert: Wenn Ihr Datenbestand nicht auf dem neusten Stand ist und Sie diese Informationen an Dritte weitergegeben haben, so ist es Ihre Pflicht diese Organisationen auf diese sachliche Unrichtigkeit hinzuweisen, sodass auch diese die falschen Daten korrigieren können.

 

Das Widerspruchsrecht wird erweitert: Der Betroffene kann insbesondere Datenverarbeitungen zu Zwecken des Direktmarketings,
einschließlich der Profilbildung für diese Zwecke, widersprechen.

 

Hohe Risiken bei Fehlern: Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes – je nachdem, welcher Betrag höher ist. Nur Verstöße, die allein deutsches Recht betreffen, sind bei EUR 50.000 gedeckelt.

 

Schmerzensgeld: Verbraucher (d.h. auch Arbeitnehmer) können Schadensersatzansprüche auch wegen Nichtvermögensschäden geltend machen. Das ist neu und führt zu erheblichen wirtschaftlichen Risiken für Unternehmen. Denn Verbraucher und Verbände haben Verbandsklagerechte, die ihnen die Geltendmachung tatsächlicher oder behaupteter Ansprüche erleichtern.

 

Beweislastumkehr: Der Arbeitgeber muss nachweisen können, dass er die geltenden datenschutzrechtlichen Vorgaben einhält. Hierfür muss das Unternehmen auch die umfassenden Dokumentationspflichten der DSGVO umsetzen.

 

Sonderregelungen: Das Gesetz enthält Sonderregelungen zu einigen Spezialgebieten, wie etwa dem Datenschutz am Arbeitsplatz, Videoüberwachung oder Profiling.

 

Dokumentation: Auch die sehr weitgehenden Dokumentationspflichten nach der DSGVO werden durch das BDSG nicht reduziert.

 

Das Kopplungsverbot wurde verschärft: Art. 7 Abs. 4 DS-GVO in Verbindung mit Erwägungsgrund 34 untersagt, dass der Abschluss eines Vertrags von der Erteilung einer Einwilligung abhängig gemacht wird, obwohl dies für die Durchführung des Vertrags nicht erforderlich ist. Damit dehnt die DS-GVO die bestehende Regelung des § 28 Abs. 3b BDSG in Monopolsituationen deutlich aus. In der Praxis könnte diese bedeuten, dass Unternehmen ihre Dienstleistung einmal mit und einmal ohne Einwilligung anbieten müssen.

 

Die Informations- und Auskunftspflichten wurden um weitere Angaben erweitert: Sie müssen zukünftig dem Betroffenen eine Reihe an weiteren Informationen bereitstellen. Dazu gehören u.a. Informationen zu der Rechtsgrundlage, auf die Sie die Datenverarbeitung stützen und Angaben zur Dauer der Speicherung oder, falls dies nicht möglich ist, über die Kriterien zur Festlegung der Dauer. Zudem müssen Sie neuerdings vor jeder Weiterverarbeitung der Daten zu einem anderen Zweck den Betroffenen erneute Informationen nach Art. 13 und 14 DS-GVO bereitstellen.

 

Die Verarbeitung zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders geregelt als im Bundesdatenschutzgesetz. Weiterverarbeitung nur bei kompatiblen Zwecken zulässig: Zwar bleibt der Grundsatz der Zweckbindung erhalten, der Wortlaut der allgemeinen Regelung für die Datenweiterverarbeitung ändert sich jedoch. Die Regelung zur Weiterverarbeitung für einen anderen Zweck als den, zu dem die Daten ursprünglich erhoben wurden, findet sich im BDSG in § 28 Abs. 2, während in der Verordnung Art. 6 Abs. 4 maßgeblich ist. Der Wortlaut des BDSG weicht von dem der Verordnung ab. Während die DS-GVO die Weiterverarbeitung nur zulässt, wenn sie »mit dem ursprünglichen Zweck vereinbar ist«, ist die Übermittlung und Nutzung für einen anderen Zweck nach § 28 Abs. 2 Nr. 1 zulässig, wenn es zur »Wahrung berechtigter Interessen« der verantwortlichen Stelle erforderlich ist und »kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

 

Welche Prozesse müssen Sie in Ihrem Unternehmen überprüfen?

 

Alle Punkte unterliegen einer erweiterten Rechenschaftspflicht: Die DS-GVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf.

  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
    (insbesondere Erweiterung der Dokumentationspflichten bei Auftragsverarbeitern,
    möglw. zusätzliche Dokumentationserfordernisse für Risk und Privacy Impact Assessment)
  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben),
  • Prozess für Widerruf der Einwilligung
  • Anpassung der Betriebsvereinbarungen an DS-GVO
  • Prozesse zur Umsetzung von Widersprüchen
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation)
  • Prozess bei Datenpannen entsprechend der neuen Vorgaben überarbeiten
  • Verfahren, um Daten in gängigem elektronischen Format übertragen zu können
  • Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DS-GVO
    und den eigenen Prozessen
  • Einführung von Risk Assessment zur Festlegung geeigneter technisch-organisatorischer
    Maßnahmen
  • Einführung von Privacy Impact Assessment
  • Monitoring nationaler Gesetzgebung und Fortbildung

 

Wie groß ist der Aufwand?

 

Der Aufwand wird von Unternehmen zu Unternehmen variieren – je nachdem wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Unternehmensprozesse haben. Er hängt auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse aussieht. Folgende Faktoren beeinflussen die Größe des Aufwand erheblich:

  • Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis? Anzahl der noch zu dokumentierenden Verfahren? Muss ein Verfahrensverzeichnis neu erstellt werden? Mit wievielen Abteilungen ist zu sprechen?
  • Verhandlung mit dem Betriebsrat über Ergänzung / Änderung von Betriebsvereinbarung(en)?
  • Anzahl ADV-Vereinbarungen (Zeit für Check + Zeit für ggf. Neuverhandlung mit Vertragspartner)
  • Überarbeitung des bisherigen Prozesses, Einbeziehung aller Beteiligten
  • Schulungen der Mitarbeiter

Der genannte Aufwand wird selbstverständlich erheblich geringer, wenn Sie diese Aufgaben einem externen Datenschutzbeauftragten zuweisen. Aus Erfahrungswerten können wir als Experten sagen, dass der zeitliche Rahmen für eine datenschutzkonforme Optimierung zwischen 3 – 6 Monaten variiert.

 

 

 

Schreibe einen Kommentar