Dr. Philipp Siedenburg
Director Datenschutz
Die Datenschutz-Grundverordnung kommt und führt zu weitreichenden Änderungen im Datenschutz. Betroffene Unternehmen sollten sich daher frühzeitig mit den Neuerungen und deren Implementierung auseinandersetzen.
„Gut Ding will Weile haben“
Nach fast vierjähriger Verhandlung wurde Ende 2015 die zum Beginn des Jahres 2018 wirksam werdende EU–Datenschutzgrundverordnung (DSGVO) veröffentlicht. Damit wird sie die bereits seit 1995 geltende EU-Datenschutzrichtlinie mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.
Diese finale Fassung ist das Ergebnis langer Verhandlungen von Europäischer Kommission, Europäischem Rat und dem Europäischen Parlament und soll im Frühjahr dieses Jahres noch formal verabschiedet werden.
Bereits im Jahr 2012 wurde die Reformierung des europäischen Datenschutzes durch einen ersten Entwurf der EU-Kommission eingeleitet. Es folgten Jahre zäher Auseinandersetzungen und Bemühungen die über 4000 Änderungsanträge abzuarbeiten, bis man sich schließlich im Juni 2015 auf eine allgemeine Ausrichtung einigen konnte.
Nachdem die bisher geltende EU-Datenschutzrichtlinie als Richtlinie keine unmittelbare Geltung in den jeweiligen EU-Mitgliedsstaaten hatte, sondern durch nationale Gesetzte umgesetzt werden musste, ist die neu gewählte Form der EU-Verordnung, als Instrument der Rechtsvereinheitlichung, für alle EU-Mitgliedsstaaten bindend und löst mit Wirksamwerden voraussichtlich das BDSG ab.
Das in Kraft treten der DSGVO wird weitreichende Veränderungen in der Umsetzung des Datenschutzes innerhalb der EU haben. So sollen insbesondere datenschutzrechtliche „Rückzugsräume“ in Ländern mit niedrigerem Datenschutzniveau verhindert, der Verwaltungsaufwand verringert und den Unternehmen einheitliche Maßstäbe für die Einhaltung des Datenschutzes an die Hand gegeben werden. Dabei wird die Verordnung nicht nur für in der EU ansässige Unternehmen gelten, sondern vielmehr auch für Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten, und die Unternehmenstätigkeit einen EU-Bezug aufweist. Dies dürfte auch für Auftragsdatenverarbeiter zutreffen, die Daten von EU-Bürgern verarbeiten und deren Auftraggeber ihren Sitz in der EU haben.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Die wesentlichen Änderungen
Die Neuerungen die durch in Kraft treten der Verordnung wirksam werden sind sowohl für Betroffene als auch für Unternehmen weitreichend.
Die Rechte der Betroffenen, also Personen deren Daten verarbeitet werden, werden insoweit gestärkt, als dass diese mehr Kontrolle über ihre Daten erhalten durch:
- die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten
- das Recht auf Berichtigung, Löschung sowie das Vergessen werden
- den einfacheren Zugang zu ihren Daten
- die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den Anderen
- das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“
Auch für Unternehmen, die mit personenbezogenen Daten arbeiten, ergeben sich dadurch tiefgreifende Änderungen:
- Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben
- das Angebot der Unternehmen soll möglichst datensparsam konzipiert werden und es sollen nur Daten erhoben werden die zur Erbringung des Dienstes benötigt werden
- das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen die dem Risiko der Datenverarbeitungsvorgänge entsprechen
- die Unternehmen treffen zukünftig weitergehende Meldepflichten bei Datenschutzverstößen
- bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen
- durch eine Öffnungsklausel bleiben den Mitgliedstaaten rechtliche Spielräume hinsichtlich der Einsetzung eines Datenschutzbeauftragten, wodurch die bisherige deutsche Praxis in diesem Bereich weitestgehend beibehalten werden kann
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Hohe Bußgelder und Schadenersatz
Bei Verstößen durch die datenverarbeitenden Unternehmen drohen in Zukunft Bußgelder von bis zu 4 Prozent des Jahresumsatzes des Unternehmens. Dies kann für große Unternehmen schnell zu empfindlichen Strafen in Millionenhöhe führen.
Schließlich wird weiterhin an der Pflicht der Mitgliedstaaten festgehalten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Bei diesen Aufsichtsbehörden sollen Betroffene künftig, neben der Option den ordentlichen Rechtsweg zu beschreiten, die Möglichkeit erhalten, Beschwerde über etwaige Verstöße einzulegen. Zudem enthält die DSGVO explizite Haftungs- und Schadensersatzregelungen im Hinblick auf Datenschutzverstöße durch datenverarbeitende Unternehmen.
Es ist daher für solche Unternehmen ratsam, sich möglichst frühzeitig mit den Umsetzungen der neuen Anforderungen der DSGVO auseinanderzusetzten und die zweijährige Übergangszeit zu nutzen um im Zeitpunkt des Wirksamwerdens gewappnet zu sein und Strafen wegen Verzögerung bei der Umsetzung zu entgehen. Es sollten in dieser Zeit die Prozesse im Unternehmen überprüft und nach Lösungen im Hinblick auf die datenschutzrechtlichen Änderungen gesucht werden.
Dieser Artikel wird der Beginn einer ganzen Reihe von Einzelbeiträgen sein, die in naher Zukunft auf die wesentlichen Neuerungen durch die DSGVO detailliert eingehen werden. Dabei sollen Lösungsansätze und Umsetzungshinweise in den für Unternehmen relevanten Themengebieten gegeben werden, wie z. B.
- Anforderungen an die Einwilligung und Umsetzung des Löschungsanspruches
- Verarbeitung besonderer personenbezogener Daten
- Outsourcing und Datenschutzmanagement
- Auditierung und Zertifizierung
- Datenübermittlung ins EU-Ausland
- Datenverarbeitung im Internet
- Datenschutzbeauftragte im Unternehmen und die Umsetzung im Hinblick auf nationale Gesetzgebungen
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern