Ab 25. Mai 2018 gilt ohne weitere Übergangsregelung die zwei Jahre zuvor in Kraft getretene EU Datenschutzgrundverordnung – kurz DSGVO – mit für alle der Union angehörenden Staaten verbindlicher Wirkung.

 

Adé BDSG – Hallo DSGVO!

Das Bundesdatenschutzgesetz (BDSG) in seiner jetzigen Form hat damit ausgedient und greift in Zukunft nur dort, wo die DS GVO Raum für nationale Regelungen bietet.

Die DSGVO dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz sowie dem freien Verkehr personenbezogener Daten (Artikel 1 DS GVO).

 

Grundsätze der Verarbeitung personenbezogener Daten

Dieses Ziel soll erreicht werden durch die Einhaltung der in Artikel 5 DS GVO festgeschriebenen Grundsätze der Verarbeitung personenbezogener Daten, die da lauten: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Diese Grundsätze muss jeder umsetzen und einhalten, der ganz oder teilweise personenbezogene Daten automatisiert verarbeitet (hierzu gehören auch Smartphones, Tablets, Druck- und Kopiersysteme, etc.) oder bei nicht automatisierter Verarbeitung solche Daten in einem Datensystem speichert oder zu speichern beabsichtigt (Artikel 2 Abs. 1 DS GVO).

Somit sind beispielsweise handschriftliche Aufzeichnungen mit personenbezogenen Daten ebenfalls betroffen wie elektronische Aufzeichnungen.

 

Verstöße können existenziell bedrohlich werden!

Bei Verstößen kann es existentiell bedrohlich für Sie und Ihr Unternehmen werden. Die Bußgelder wurden drastisch erhöht: Von den bisherigen 50.000 Euro auf künftig bis zu 10 Mio. Euro oder bis zu 2 Prozent des Jahresumsatzes, bzw. von den 300.000 Euro auf bis zu 20 Mio. Euro oder bis zu 4% des Jahresumsatzes (je nachdem was jeweils höher ist).

In welcher Höhe die Aufsichtsbehörden Bußgelder und Strafen bei Verstößen verhängen werden, bleibt abzuwarten. Eine Bedingung ist jedenfalls vorgegeben: Die Verhängung muss in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein (Artikel 83 DS GVO). Außerdem haften zukünftig Verantwortliche, also Geschäftsführer, Mitarbeiter und Datenschutzbeauftragte oder Auftragsverarbeiter bei Datenschutzverstößen unter Umständen auch mit ihrem Privatvermögen.

 

Auch Schadenersatzansprüche können geltend gemacht werden!

Auch Schadensersatzansprüche kann jede Person, der ein materieller oder immaterieller Schaden entstanden ist, direkt gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter geltend machen (Artikel 82 Absatz 1 DS GVO).

Da die Beweislast beim Verantwortlichen liegt, ist ein möglichst vollständiges und gut geplantes Datenschutzkonzept sowie eine akribisch geführte Dokumentation, anzuraten, Letztere ist ohnehin mit Einführung der Rechenschaftspflicht nach Artikel 5 Absatz 2 DS GVO, wonach der Verantwortliche die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können muss, nunmehr festgeschrieben.

Wohl dem, der bereits in der Vergangenheit sein Unternehmen aus datenschutzrechtlicher Sicht fit gemacht hat. Auf bereits Vorhandenes lässt sich leicht aufbauen, denn viele der Regelungen der DS GVO entsprechen im Wesentlichen
den der im alten BDSG enthaltenen. Eine Anpassung ist überall dort von Nöten, wo die DS GVO die bislang geltenden allgemeinen Grundsätze konkretisiert, beispielsweise durch zusätzliche Informationspflichten (Transparenz) in Artikeln 13, 14 DS GVO oder die Verpflichtung, Datenschutz und Privatsphäre bereits in der Entwicklung der Technik zu beachten (Privacy by Design) in Artikel 25 DS GVO. Bereits zum jetzigen Zeitpunkt lässt der Düsseldorfer Kreis, ein Gremium aus Vertretern der obersten Aufsichtsbehörden, eine Ausrichtung der betrieblichen Datenschutzkonzepte auf die DS GVO zu.

 

Und jetzt?

Was bleibt aber dem zu tun, der zwar sein Unternehmen in bestem Zustand hält, Datenschutz jedoch stets als lästige, zeitraubende, kostenintensive und damit vernachlässigbare Pflicht betrachtet hat und dementsprechend noch nicht einmal den datenschutzrechtlichen Ist-Zustand seines Unternehmens kennt?

Resignation ist nicht das Mittel der Wahl, denn ab dem 25.05.2018 ist die Einhaltung der Vorschriften der DS GVO durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüfbar. Also heißt es JETZT die Ärmel hochzukrempeln
und das Thema anzugehen: Die komfortabelste Lösung zur Feststellung des datenschutzrechtlichen Ist-Zustandes des eigenen Unternehmens und Aufdeckung der Lücken zum Soll-Zustand ist die Durchführung eines Erstaudits und daran anschließend die Aufarbeitung. Wer dies wegen der Komplexität des Themas „Datenschutz“ nicht leisten kann oder
möchte, sollte darüber nachdenken, einen externen Datenschutzbeauftragten zu bestellen und damit nicht nur Arbeitsaufwand und Bindung eigener Arbeitskräfte, sondern auch einen Teil der Haftung nach außen zu verlagern.

Verlieren Sie keine Zeit mehr, das Thema anzugehen. Die Zeitspanne bis zum Stichtag im Mai 2018 ist kurz und teilweise sind Sie auf externe Ressourcen, wie beispielsweise die Auftragsverarbeiter, angewiesen.

 

Da die Beweislast beim Verantwortlichen liegt, ist ein möglichst vollständiges und gut geplantes Datenschutzkonzept sowie eine akribisch geführte Dokumentation anzuraten.

 

Autorin:Brigitte Burgmer