Den Schatten voraus

Rechtssicherer Umgang mit der EU-DSGVO

| Autor / Redakteur: Kathrin Schürmann & Philipp Heindorff / Stephan Augsten

Im Zuge der Datenschutz-Grundverordnung müssen Unternehmen künftig Sicherheitsmaßnahmen treffen, die das Risiko der Datenverarbeitungsvorgänge berücksichtigen.
Im Zuge der Datenschutz-Grundverordnung müssen Unternehmen künftig Sicherheitsmaßnahmen treffen, die das Risiko der Datenverarbeitungsvorgänge berücksichtigen. (Bild: Olivier Le Moal - Fotolia.com)

Auf Unternehmen und Institutionen in der EU kommt einiges zu: Schon in weniger als zwei Jahren müssen die Neuerungen der Datenschutzgrundverordnung, kurz DSGVO, angewandt und umgesetzt werden. Diese Artikelreihe zeigt, worauf sich betroffene Organisationen einstellen müssen.

Da die DSGVO weitreichende Änderungen im Datenschutz mit sich bringt, sollten sich Unternehmen und Institutionen bereits während der Übergangsphase mit den Änderungen auseinandersetzen und ihre Prozesse den neuen Regelungen anpassen. Anderenfalls könnten hohe Bußgelder drohen.

Was lange währt, wird endlich gut?!

Aber zunächst einmal ein Blick auf den Status quo: Nach fast vierjähriger Verhandlung ist die EU-Datenschutzgrundverordnung am 25. Mai dieses Jahres in Kraft getreten. Nach einer zweijährigen Übergangszeit wird sie schließlich am 25. Mai 2018 wirksam. Damit löst sie die bereits seit 1995 geltende EU-Datenschutzrichtlinie mit dem Ziel ab, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.

Bereits im Jahr 2012 wurde die Reformierung des europäischen Datenschutzes durch einen ersten Entwurf der EU-Kommission eingeleitet. Es folgten Jahre zäher Auseinandersetzungen und Bemühungen die über 4000 Änderungsanträge abzuarbeiten, bis man sich schließlich im Juni 2015 auf eine allgemeine Ausrichtung einigen konnte.

Die bisher geltende EU-Datenschutzrichtlinie hatte in ihrer Eigenschaft als Richtlinie keine unmittelbare Geltung in den jeweiligen EU-Mitgliedsstaaten, sondern musste durch nationale Gesetze umgesetzt werden. Hingegen ist die neu gewählte Form der EU-Verordnung als Instrument der Rechtsvereinheitlichung für alle EU-Mitgliedsstaaten bindend und löst mit Wirksamwerden voraussichtlich das Bundesdatenschutzgesetz (BDSG) ab.

Das Inkrafttreten der DSGVO wird weitreichende Veränderungen in der Umsetzung des Datenschutzes innerhalb der EU haben. So sollen insbesondere datenschutzrechtliche „Rückzugsräume“ in Ländern mit niedrigerem Datenschutzniveau verhindert, der Verwaltungsaufwand verringert und den Unternehmen einheitliche Maßstäbe für die Einhaltung des Datenschutzes an die Hand gegeben werden.

Dabei wird die Verordnung nicht nur für Unternehmen gelten, die ihren Standort in der EU haben, sondern vielmehr auch für Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten. Es sind also vor allem Unternehmen betroffen, deren Unternehmenstätigkeit einen EU-Bezug aufweist bzw. deren Angebote sich an EU-Bürger richten.

Welche Änderungen bringt die DSGVO mit sich und auf was müssen sich Unternehmen und Institutionen einstellen?

Das Inkrafttreten der Datenschutzgrundverordnung führt zu weitreichenden Änderungen und damit zu Unsicherheiten bei ihrer Implementierung auf Seiten von Unternehmen und Institutionen. Beispielsweise werden die Rechte der Betroffenen – also natürliche Personen, deren Daten verarbeitet werden – insoweit gestärkt, als dass sie eine größere Kontrolle über ihre Daten erhalten sollen.

Dies soll unter anderem durch folgende Punkte gewährleistet werden:

  • Die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten,
  • das Recht auf Berichtigung, Löschung sowie das Vergessenwerden,
  • den einfacheren Zugang zu ihren Daten,
  • die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den anderen und
  • das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“.

Für Unternehmen, die mit personenbezogenen Daten arbeiten, ergeben sich dadurch tiefgreifende Änderungen:

  • Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben.
  • Unternehmen sollten ihr Angebot möglichst datensparsam konzipieren und nur Daten erheben, die zur Erbringung des Dienstes benötigt werden.
  • Das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko der Datenverarbeitungsvorgänge entsprechen.
  • Die Unternehmen unterliegen zukünftig weitergehenden Meldepflichten bei Datenschutzverstößen.
  • Bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen.

Wann darüber hinaus ein Datenschutzbeauftragter zu bestellen ist, wurde durch eine Öffnungsklausel in die Hände der Mitgliedstaaten gegeben, denen rechtliche Spielräume hinsichtlich der Einsetzung eines Datenschutzbeauftragten eingeräumt wurden. Es wird daher spekuliert, dass in Deutschland die bisherige Praxis in diesem Bereich weitestgehend beibehalten werden kann bzw. soll.

Was droht bei Verstößen?

Die Konsequenzen bei Verstößen gegen datenschutzrechtliche Vorschriften verschärfen sich für Unternehmen massiv. Wo bisher ein maximales Bußgeld von 300.000 Euro verhängt werden konnte, drohen nun hohe Bußgelder sowie Schadenersatzklagen. Bußgelder können sich nach der DSGVO auf bis zu vier Prozent des Jahresumsatzes des Unternehmens belaufen. Dies kann schnell zu empfindlichen Strafen in Millionenhöhe führen.

Für Unternehmen, die personenbezogene Daten verarbeiten, ist es daher ratsam, sich möglichst frühzeitig mit den Umsetzungen der neuen Anforderungen der DSGVO auseinanderzusetzen. Die zweijährige Übergangszeit lässt sich nutzen, um im Zeitpunkt des Wirksamwerdens gewappnet zu sein und Strafen wegen Verzögerung bei der Umsetzung zu entgehen. Es sollten in dieser Zeit die Prozesse im Unternehmen überprüft und nach Lösungen im Hinblick auf die datenschutzrechtlichen Änderungen gesucht werden.

Dieser Artikel stellt den Beginn einer ganzen Reihe von Einzelbeiträgen dar, die in naher Zukunft auf die wesentlichen Neuerungen durch die DSGVO detailliert eingehen werden. Dabei sollen Lösungsansätze und Umsetzungshinweise in den für Unternehmen relevanten Themengebieten gegeben werden, wie z. B.:

  • Anforderungen an die Einwilligung und Umsetzung des Löschungsanspruches
  • Verarbeitung besonderer personenbezogener Daten
  • Outsourcing und Datenschutzmanagement
  • Auditierung und Zertifizierung
  • Datenschutzbeauftragte im Unternehmen und die Umsetzung im Hinblick auf nationale Gesetzgebungen
  • Datenübermittlung ins EU-Ausland
  • Datenverarbeitung im Internet

Über die Autoren

Kathrin Schürmann
Kathrin Schürmann (Bild: SWD Rechtsanwälte)

Kathrin Schürmann ist seit 2007 als Rechtsanwältin bei SCHÜRMANN WOLSCHENDORF DREYER tätig. Neben dem Datenschutz- und Wettbewerbsrecht, Urheber- und Medienrecht ist Frau Schürmann auf den gesamten Marketing-Bereich spezialisiert, insbesondere auf die Schwelle zwischen Wettbewerbs- und Datenschutzrecht. Hierbei betreut sie unter anderem Kundenbindungssysteme und digitale Geschäftsmodelle. Weitere Schwerpunkte sind die gesamten Bereiche des Online Marketing, Mobile/Apps, personalisierte Kundenansprache/Datenanalyse, Location-Based Services und die crossmediale Kommunikation.

Beratungsschwerpunkte: Datenschutz- und Wettbewerbsrecht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.

Der Volljurist Philipp Heindorff arbeitet seit 2015 für SCHÜRMANN WOLSCHENDORF DREYER Rechtsanwälte. Nach seinem Studium der Rechtswissenschaften in Berlin und Innsbruck hat er sich auf die Bereiche Medienrecht und insbesondere auf das IT- und Datenschutzrecht spezialisiert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44167970 / Compliance und Datenschutz )