DSGVO – seit dem 25.05.2018 ist sie in Kraft
Die wesentlichen Anforderungen der Datenschutzgrundverordnung
Mit der EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, steht der Datenschutz in den EU-Mitgliedsstaaten unter den gleichen Regeln. Nationale Unterschiede gehören ab sofort der Vergangenheit an. Die Regelungen der neuen Verordnung sind dementsprechend tiefgreifend: So regelt die DSGVO umfassend, wie Unternehmen zukünftig mit persönlichen Daten umgehen dürfen. Sie legt die damit verbundenen Verarbeitungszwecke fest und sieht Maßnahmen vor, mit denen das Datenschutzrecht wirksam durchgesetzt werden soll.
Bereits Ende 2015 erzielten Vertreter des Europäischen Rates und des Europäischen Parlaments eine Einigung über den aktuellen Entwurf der Grundverordnung zum Datenschutz der EU. Die Verordnung ist im Frühjahr 2016 verabschiedet worden und wird ab dem 25. Mai 2018 angewandt. Der Überbrückungszeitraum diente den Unternehmen dazu, sich ausreichend auf das neue Recht vorzubereiten.
Datenschutzgrundverordnung – die wichtigsten Regeln
- Marktortprinzip: Die DSGVO gilt explizit auch für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der Ort der Datenverarbeitung spielt keine Rolle mehr.
- Datenschutzkonzept: Jede Stelle muss nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt (“Rechenschaftspflicht”). Dieses muss sie auch regelmäßig kontrollieren und ggf. weiterentwickeln.
- Informationsrechte: Die Betroffenen sind aktiv und umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. Wenn als Rechtsgrundlage die Interessensabwägung herangezogen wird, müssen auch die “berechtigten Interessen” aufgezählt werden.
- Privacy by design und by default: Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.
- Risikoanalyse und Folgenabschätzung: Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.
- Datenschutz in Konzernen: Ein Konzernprivileg gibt es weiterhin nicht, aber die Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden Übermittlungen für interne Verwaltungszwecke als “legitim” anerkannt. Andererseits können sich mehrere Stellen zusammenschließen, um Daten gemeinsam zu verarbeiten – sie handeln und haften dann als gemeinsame Verantwortliche.
- Datenschutzverstöße: Zukünftig müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind “ohne unangemessene Verzögerung” zu benachrichtigen.
- Datenschutzbeauftragter: Das deutsche Erfolgsmodell der Datenschutzbeauftragten wird mit der DSGVO in ganz Europa eingeführt und gilt somit auch für Deutschland unverändert weiter.
- Bußgelder: Fast jeder Verstoß gegen die DSGVO kann geahndet werden. Der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Die DSGVO erfordert Anpassungen der Prozesse und der Dokumentationen
- Neue Prozesse für die Kommunikation mit der Chef-Etage und der Aufsichtsbehörde müssen eingerichtet werden.
- Datenschutzhinweise und -erklärungen gilt es anzupassen.
- Einwilligungserklärungen müssen überarbeitet und eingefordert werden.
- Die neuen Richtlinien der Auftragsverarbeitung müssen in die bestehenden Prozesse integriert werden.
- Unternehmen müssen sich in neue Pflichten einarbeiten (z.B. Datenschutz-Folgenabschätzung, Dokumentationspflichten etc.).