IT-Security Management & Technology Conference 2017

Missachtung der DSGVO ist kein Kavaliersdelikt

| Redakteur: Peter Schmitz

Mit der DSGVO gilt jetzt europaweit gleiches Datenschutz-Recht für alle und damit auch gleiche Wettbewerbsbedingungen für alle.
Mit der DSGVO gilt jetzt europaweit gleiches Datenschutz-Recht für alle und damit auch gleiche Wettbewerbsbedingungen für alle. (Bild: Noerr LLP)

Für eine umfassende IT-Sicherheit müssen IT-Abteilungen heute nicht nur aktuelle Bedrohungen technisch bewerten, sondern auch Compliance-Risiken aus rechtlicher Sicht korrekt beurteilen können. Mit der neuen Datenschutz-Grundverordnung kommen hier neue Herausforderungen auf Unternehmen zu. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei der Noerr LLP und Keynote-Speaker bei der IT-Security Management & Technology Conference 2017.

Security-Insider: In Deutschland haben Unternehmen sich über viele Jahre an die Anforderungen des Bundesdatenschutzgesetz (BDSG) gewöhnt. Jetzt kommt die Datenschutz-Grundverordnung (EU-DSGVO). Haben deutsche Unternehmen davon einen spürbaren Nutzen?

Prof. Dr. Peter Bräutigam: Ja, haben sie: Jetzt müssen sich nämlich alle Unternehmen EU-weit an dieselben datenschutzrechtlichen Spielregeln halten. Bislang haben Unternehmen , die in anderen EU-Ländern ansässig sind, einen Wettbewerbsvorteil, weil nicht alle Staaten die bisherigen Vorgaben der EU-Datenschutzrichtlinie so strikt umgesetzt haben wie Deutschland. Diese Praxis wird im Mai 2018 vorbei sein. Mehr noch: Durch das Marktortprinzip haben sich auch Unternehmen aus dem EU-Ausland, also etwa aus den USA, an europäisches Datenschutzrecht zu halten, wenn deren Datenverarbeitung mit dem Angebot von Waren und Dienstleistungen an EU-Bürger oder mit der Beobachtung von deren Verhalten im Zusammenhang steht (Art. 3 Abs.2 a und b DSGVO). Insoweit gilt nun: Gleiches (Datenschutz-)Recht für alle und damit gleiche Wettbewerbsbedingungen für alle.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2017

Security-Insider: Welches sind die wichtigsten neuen Pflichten durch die DSGVO, auf die sich das Management und die IT eines deutschen Unternehmens einstellen müssen?

Prof. Bräutigam: Für Unternehmen bestehen bereits durch das BDSG umfassende Pflichten, welche durch die DSGVO zum Teil verschärft und zum Teil erweitert werden. Zu nennen sind vor allem die Grundsätze der Zweckbindung (Art. 5 Abs. 1 b DSGVO) und der Datenminimierung (Art. 5 Abs. 1 c DSGVO). die hohe Hürden für Big Data aufstellen. Darüber hinaus kommt es zu einer Erweiterung der Betroffenenrechte durch Einfügung des Rechts auf Vergessenwerden (Art. 17 Abs. 2 DSGVO), das neben den bereits nach bisherigem Recht bestehenden Anspruch auf Datenlöschung tritt und zusätzlich die Pflicht statuiert, auch Dritte darüber zu informieren, dass ein Betroffener die Löschung von Kopien seiner personenbezogenen Daten und aller Links dorthin verlangt hat. Eine besondere Herausforderung für Unternehmen stellt auch das neue Recht auf Datenportabilität (Art. 20 DSGVO) dar, wonach der Betroffene die von ihm bereitgestellten Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ erhalten soll.

Hinzu kommt: Die Missachtung der oben genannten Pflichten ist alles andere als ein Kavaliersdelikt. Im Gegenteil, die DSGVO erhöht den Bußgeldrahmen hierfür dramatisch auf 20 Mio. Euro oder - im Falle von Unternehmen – auf 4 Prozent des gesamten erzielten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 a und b DSGVO)! Auch wenn noch nicht ausgemacht ist, in welchen Fällen die Behörden diesen Rahmen ausschöpfen werden, muss das Management diese drakonische Sanktionsmöglichkeit im Blick haben.

Security-Insider: Wo liegen die rechtlichen Fallstricke der Datenschutz-Grundverordnung und wie umgeht man sie am einfachsten?

Prof. Bräutigam: Angesichts der eben genannten horrenden Bußgelder ist es mit einfachen Umgehungslösungen nicht getan. Die Unternehmen müssen vielmehr bis Mai 2018 kritisch hinterfragen, ob ihre Datenverarbeitung den Anforderungen der DSGVO entspricht, und bei identifiziertem Handlungsbedarf ihre Hausaufgaben machen. Insbesondere gilt es, vorhandene Prozesse anzupassen und weitere neu aufzusetzen. So sind die bereits in den vorhandenen Abläufen vorgesehenen Mechanismen und Rahmenbedingungen an Einwilligungen auf Konformität mit dem neuen Recht (Art. 7 und Art. 8 DSGVO) zu überprüfen. Gleiches gilt für die Verhältnisse, in denen sich das Unternehmen Dritter bei der Auftragsdatenverarbeitung bedient (Art. 28 und Art. 29 DSGVO). Auch die Verfahrensverzeichnisse sind an das neue Recht anzupassen (Art, 30 DSGVO). Die Pflicht, Verfahrensverzeichnisse aufzustellen trifft nun, anders als bisher, auch den Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO). Schließlich ist die Durchführung und Dokumentation der neuen Pflicht zur Datenschutzfolgeabschätzung (Art. 35 DSGVO) einzuführen.

Daneben stellt sich noch eine weitere Herausforderung: Die Datenschutz-Grundverordnung überlagert in ihrem Anwendungsbereich das deutsche Recht. Dennoch wird es an vielen Stellen den Mitgliedstaaten ermöglicht, eigene Regelungen zu schaffen. Wie dieser Spielraum zukünftig umgesetzt wird, ist eng im Auge zu behalten, um böse Überraschungen zu vermeiden.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2017

Prof. Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Honorarprofessor an der Universität Passau. Er leitet als Koordinierender Partner den Bereich Commercial und ist Mitglied der Practice Group IT, Outsourcing & Datenschutz. Neben seiner langjährigen praktischen Tätigkeit als Anwalt im IT-Recht publiziert und referiert er regelmäßig zu aktuellen Fragen des IT-Vertragsrechts. So ist er u.a. Herausgeber des Handbuchs IT-Outsourcing - das demnächst in 4. Auflage unter dem Titel „IT-Outsourcing und Cloud-Computing“ erschienen erscheinen wird - und Mitherausgeber der Neuen Juristischen Wochenschrift (NJW). Neben seinem Engagement in verschiedenen Vereinigungen (u.a. Stellvertretender Vorstandsvorsitzender bei der Deutschen Gesellschaft für Recht und Informatik [DGRI], Vice Chair des Cyber Crime Committees der International Technology Law Association [ITechLaw]) gehört Prof. Dr. Peter Bräutigam dem geschäftsführenden Ausschuss der Arbeitsgemeinschaft IT-Recht im deutschen Anwaltsverein [DAVIT] an und ist Beiratsvorsitzender der Stiftung Datenschutz.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44667913 / Compliance und Datenschutz )