Datenschutzgrundverordnung (DSGVO)

17. Mai 2018

Im Frühjahr 2016 hat das europäische Parlament die Verabschiedung der Datenschutz-Grundverordnung (DSGVO) beschlossen, die nach einer Übergangsfrist von zwei Jahren im Mai 2018 anwendbar wird. Im Folgenden informieren wir Sie über grundsätzliche Fragen rund um die DSGVO. Was ist die Datenschutz-Grundverordnung? Welchen Geltungsbereich hat sie? Was wird aus den nationalen Gesetzen?

Einheitliche europäische Regelung des Datenschutzrechts

Das derzeit geltende Bundesdatenschutzgesetz beruht auf der Richtlinie 95/46/EG (Datenschutzrichtlinie).

Die europäische Richtlinie enthält kein unmittelbar in jedem EU-Mitgliedsstaat geltendes Recht. Insofern müssen die Bestimmungen der Richtlinie von jedem Land in nationales Datenschutzrecht umgesetzt werden. Da der jeweilige Gesetzgeber hierbei einen Gestaltungsspielraum hat, bestehen derzeit erhebliche gesetzliche Unterschiede im nationalen Datenschutz.

Das ändert sich durch die neue Datenschutz-Grundverordnung. Im Gegensatz zu einer Richtlinie gilt eine Verordnung unmittelbar. Das heißt es bedarf keiner Umsetzung in nationales Recht. Alle gesetzlichen Regelungen werden also unmittelbar in jedem EU-Mitgliedstaat Anwendung finden. Abweichungen können nur noch in bestimmten Fällen auftreten, in denen die DSGVO sogenannte „Öffnungsklauseln“ vorsieht. Hier steht es nationalen Gesetzgebern frei, eigene nationale Regelungen zu treffen.

Am 25. Mai 2018 wird das neue Recht wirksam. An diesem Tag verlieren alle Gesetze, die den Regelungsbereich der Datenschutz-Grundverordnung betreffen, ihre Geltung.

Für wen gilt die DSGVO?

Die Neuregelung des Datenschutzrechts betrifft sämtliche Unternehmen in der Europäischen Union. Neu ist, dass auch Unternehmen, die ihren Sitz außerhalb der EU haben, die DSGVO beachten müssen. Das gilt für Unternehmen, die Daten von EU-Bürgern verarbeiten, um ihnen Waren oder Dienstleistungen anzubieten, und für Unternehmen, die das Verhalten von Personen in der EU beobachten (Marktortprinzip). Mit einigen Ausnahmen gelten die neuen Regeln übrigens auch für alle Behörden der EU-Mitgliedstaaten.

Die wichtigsten Fakten zur Geltung der Datenschutz-Grundverordnung

Wirksamkeit ab dem 25. Mai 2018

Unmittelbare Wirkung in der gesamten Europäischen Union
Geltung für alle Unternehmen mit Sitz in der Europäischen Union
Geltung für Unternehmen aus Drittstaaten, die Daten von EU-Bürgern verarbeiten

Was ändert sich für Unternehmen?

Im Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Diese neue, einheitliche gesetzliche Regelung des europäischen Datenschutzes bringt eine Reihe von Änderungen für Unternehmen mit sich. Die Wichtigste besteht in einer deutlichen Anhebung der Bußgelder für Datenschutzverstöße. Unternehmen sollten daher die Übergangszeit nutzen, um die Datenverarbeitungsprozesse rechtzeitig an die neuen gesetzlichen Anforderungen anzupassen.

Verschärfte Sanktionen

Verstöße gegen datenschutzrechtliche Vorgaben können ab Mai 2018 mit drastisch erhöhten Bußgeldern geahndet werden. Alle wesentlichen Bestimmungen der DSGVO sind davon betroffen. In einem Katalog ist genau geregelt, welche Bußgelder die Aufsichtsbehörden bei Verstößen verhängen können.

In bestimmten Fällen besteht für Unternehmen ein Bußgeldrahmen von bis zu 10 Mio. Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist. In bestimmten anderen Fällen belaufen sich die Geldbußen sogar auf 20 Mio. Euro und 4 % des Jahresumsatzes. Bemessungsgrundlage ist bei Konzernen nicht der Umsatz des Unternehmens, das den Verstoß zu verantworten hat, sondern der Konzernumsatz.

Die Datenschutz-Grundverordnung sieht eine Reihe weiterer Sanktionen vor. Werden Anordnungen der Aufsichtsbehörden missachtet, kann die Behörde einen Bußgeldrahmen von bis zu 4% des Jahresumsatzes ausschöpfen.

Kriterien für die Bußgeldbemessungen

Wie sich die Bußgeld-Praxis der Behörden entwickeln wird, bleibt natürlich noch abzuwarten. Es gibt aber schon eine Reihe von Kriterien für die Bemessung. Dazu gehören die Art, Schwere und Dauer des Verstoßes sowie die Zahl der von der Verarbeitung betroffenen Personen. Genauso zählen dazu das Ausmaß des von ihnen erlittenen Schadens sowie die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Aber auch die getroffenen Maßnahmen zur Minderung des entstandenen Schadens oder die Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen, werden berücksichtigt.

Fest steht schon jetzt: Die Einhaltung datenschutzrechtlicher Vorgaben im Unternehmen wird in Zukunft einen ganz anderen Stellenwert haben als in der Vergangenheit.

Die wesentlichen Auswirkungen des erhöhten Bußgeldrahmens

Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes

Datenschutz wird wichtiger Bestandteil des Risikomanagements im Unternehmen
Nutzung der Übergangszeit, um Sanktionen im Vorfeld zu vermeiden.

Wie sollten Unternehmen jetzt handeln?

Nicht zuletzt wegen der hohen Bußgelder wird die Einhaltung datenschutzrechtlicher Vorgaben in Zukunft einen ganz anderen Stellenwert haben, als es heute der Fall ist. Zudem wird Unternehmen durch die Datenschutz-Grundverordnung (DSGVO) auferlegt, die Einhaltung der Vorgaben genau zu dokumentieren. Um die Compliance-Anforderungen und die zahlreichen Nachweis- und Rechenschaftspflichten zu erfüllen, empfehlen wir, rechtzeitig ein Datenschutz-Management-System einzuführen.

Neue Anforderungen an den Datenschutz im Unternehmen

Auf Grund der ab Mai 2018 drohenden Bußgelder wird der Datenschutz künftig zu einem ähnlich wichtigen Thema für Risikomanagement- und Compliance-Abteilungen wie Verstöße gegen Kartell-, Korruptions- oder Steuerrecht. Ähnlich wie im Kartell- oder Korruptionsrecht werden Unternehmen auch Schadensersatzansprüche gegen verantwortliche Vorstände, Geschäftsführer und Beschäftigte prüfen und durchsetzen.

Schon wegen des enormen Haftungsrisikos sollten Unternehmen dokumentieren, wie sie die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen. Das ist besonders wichtig, weil die DSGVO zahlreiche Nachweis- und Rechenschaftspflichten aufstellt und für den Verstoß gegen diese Pflichten ebenfalls Bußgelder androht.

Einführung eines Datenschutz-Management-Systems

Ein Datenschutz-Management-System kann von den Aufsichtsbehörden bußgeldmindernd berücksichtigt werden und bietet viele weitere Vorteile. Unter anderem ermöglicht es eine effiziente und schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

Zu einem solchen System gehört eine Datenschutz-Richtlinie, die im Unternehmen implementiert und dann regelmäßig überprüft wird. Außerdem ist eine Datenschutzorganisation aufzubauen, wozu Verantwortlichkeiten und Berichtswege geklärt und Ressourcen bereitgestellt werden müssen. Die Organisation muss vor allem die Einbindung des Datenschutzbeauftragten und die Kooperation mit den Aufsichtsbehörden gewährleisten. Schließlich muss ein Prozess etabliert werden, um Betroffenen Auskunft zu erteilen und ihre Beschwerden zu bearbeiten.

Wenn sämtliche dieser Maßnahmen fortlaufend dokumentiert werden, können nicht nur die Nachweis- und Rechenschaftspflichten gewahrt werden. Die Dokumentation ermöglicht auch die Kontrolle, wie effektiv das System arbeitet.

Frühzeitige Einleitung erforderlicher Maßnahmen

Unsere qualifizierten Berater unterstützen Sie beim Aufbau eines Datenschutz-Management-Systems, das auf die Größe, die Branche und andere spezielle Gegebenheiten Ihres Unternehmens zugeschnitten ist. Dazu gehören:

Erstellung von Richtlinien für den Datenschutz und die IT-Sicherheit
Aufbau einer angemessenen Datenschutzorganisation
Aufbau von Prozessen zur Einbindung des Datenschutzbeauftragten sowie zur Abstimmung und Kooperation mit den Aufsichtsbehörden
Beschwerdemanagement und andere Maßnahmen zur Wahrung von Rechten Betroffener
Fortlaufende Dokumentation und Kontrolle aller Maßnahmen

Handeln Sie jetzt!!!! Wir unterstützen Sie beim Aufbau eines Datenschutzmanagementsystems!! Wir prüfen dazu auch die Einbindung von Fördermitteln für bis zu 80% Förderquote!!!

Impressum | Datenschutz