Last-Minute-Check Datenschutz – Wichtige Änderungen

Bußgelder werden Pflicht, höher und auch häufiger verhängt.“ Solche Ängste hört man in jüngster Vergangenheit fast reflexartig, wenn es um die Europäische Datenschutzgrundverordnung (DSGVO) geht.

Tatsächlich können ab dem 25. Mai 2018 Unternehmen Bußgelder bis zu 20 Mio. € bzw. vier Prozent des weltweiten Jahresumsatzes drohen. Ab diesem Zeitpunkt regelt die DSGVO den Datenschutz als unmittelbar geltendes Recht in der gesamten Europäischen Union (EU) neu. Parallel hierzu wird an demselben Tage ein vollständig neugefasstes Bundesdatenschutzgesetz (BDSG) in Kraft treten.

Nationale Abweichungen von der DSGVO sind nur noch möglich, wenn die DSGVO dies in entsprechenden „Öffnungsklauseln“ vorsieht. Sollten sich einzelne Normen widersprechen, so genießt die DSGVO als Europäische Regelung Anwendungsvorrang.

Genannten Sanktionen kann aber mit einem strukturierten Datenschutz-Management vorgebeugt werden.

 

Wichtige Änderungen im Datenschutz sind unter anderem:

1. Marktortprinzip

Die DSGVO findet bspw. auch dann Anwendung, wenn personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeitet werden und

  • das Unternehmen jedoch über eine Niederlassung in der EU verfügt oder
  • wenn Waren oder Dienstleistungen durch das Unternehmen in der EU angeboten werden.

Die bloße Zugänglichkeit einer Website soll nach den Erwägungsgründen der DSGVO noch kein „Anbieten“ im Sinne der DSGVO darstellen. Wichtige Indizien, ob ein „Anbieten von Waren/Dienstleistungen in der EU“ vorliegt, soll jedoch die Möglichkeit sein, Waren und Dienstleistung in einer EU-Sprache zu bestellen oder dass das Zahlen in Euro vorgesehen ist.

2. Drastische Erhöhung der Bußgelder und Sanktionen

Die Bußgelder werden angehoben, sodass je nach Art des Datenschutzverstoßes Bußgelder bis zu 20 Mio. € verhängt werden können.

Bei Unternehmen ist zudem eine Koppelung an den Jahresumsatz möglich. Ein Bußgeld kann sich je nach Art des Verstoßes auf bis zu vier Prozent des jährlichen Umsatzes im vorangegangenen Geschäftsjahr belaufen. Sollte ein Datenschutzverstoß von einem Unternehmen innerhalb eines Konzernverbunds begangen werden, ist es zudem möglich, den gesamten Konzernumsatz bei der Bemessung des Bußgelds heranzuziehen.

Auch die Strafvorschriften werden angepasst, sodass Verstöße nach § 42 Abs. 1 BDSG künftig mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe sanktioniert werden können.

3. Benennung eines Datenschutzbeauftragten

Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Anzahl der Beschäftigten besteht eine solche Verpflichtung beispielsweise auch, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen ist, oder bei der Verarbeitung sensibler personenbezogener Daten, wie bspw. Bonitäts- oder Gesundheitsdaten.

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, oder diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig bis zum 25.05.2018 zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar (Art. 83 Abs. 4 lit. a i.V.m. Art. 37 DSGVO).

4. Ausgeweitete Dokumentationspflicht

Eine zentrale Änderung durch die DSGVO wird für alle Unternehmen die Einführung einer „Rechenschaftspflicht“ sein, welche gem. Art. 5 Abs. 2 DSGVO von den Verantwortlichen fordert, dass sie „die Einhaltung des Gesetzes nachweisen können“. Hieraus ergibt sich, dass  nicht mehr wie bisher die Aufsichtsbehörden erst einen Verstoß nachweisen müssen, um ein Bußgeld zu verhängen. In Zukunft müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit nachzuweisen. Allein schon die fehlende Dokumentation kann zu einem Bußgeld führen, auch wenn die dazugehörige Verarbeitung der Daten rechtskonform ist.

5. Datenschutz und Datensicherheit

„Privacy by Design“ (Datenschutz durch Technikgestaltung) bedeutet, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT‑Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT‑Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden.

„Privacy by default“ (datenschutzfreundliche Voreinstellungen) bedeutet insbesondere, dass die Werkseinstellungen datenschutzfreundlich voreingestellt sein sollen, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind.

6. Erweiterung der Betroffenenrechte

Zu den ohnehin schon bestehenden Ansprüchen auf Information, Auskunft, Berichtigung und Einschränkung der Verarbeitung bringt die DSGVO das Recht auf Löschung (Art. 17 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) neu mit sich. Dies soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten stärken.

Empfehlungen:

Um den zahlreichen neuen Anforderungen gerecht zu werden, empfiehlt es sich, die betriebsinternen Abläufe und Prozesse im Unternehmen zunächst einem Last-Minute-Check Datenschutz zu unterziehen. Entsprechend dem datenschutzrechtlichen Ist-Zustand sind sodann in einem Datenschutzbericht die Maßnahmen zur Einhaltung der DSGVO und des BDSG herauszuarbeiten.

Sofern noch akut Handlungsbedarf besteht, sollten Unternehmen vorrangig folgende Last-Minute-Maßnahmen umsetzen:

  • Datenschutzbeauftragten benennen
  • Prozesse festlegen, insbesondere Datenschutzvorfall-Management
  • Datenschutzerklärung und Impressum anpassen / Informationspflicht nachkommen
  • Schriftliche Verträge zur Auftragsdatenverarbeitung abschließen
  • Verzeichnis der Verarbeitungstätigkeiten anlegen

Weitere Informationen zu den rechtlichen Anforderungen im Bereich Datenschutz finden Sie in unserem online Rechtsinformations-System CertLex!

Klicken Sie hier, wenn Sie Interesse haben, unser System kostenlos zu testen.

19.04.2018

Das könnte Sie auch interessieren

Anpassung Datenschutzgrundverordnung: Kleinere Betriebe werden entlastet Erst ab 20 Personen ist ein Datenschutzbeauftrater Pflicht! Der Bundesrat hat am 20. September ... Weiterlesen
„Keine Angst vor Abmahnung!“- CertLex informiert Leser des QZ-Magazins „Sind Verstöße gegen die Datenschutz-Grundverordnung (DGVO) abmahnfähig?“ – CertLex-Rechtsanwältin klärt auf ... Weiterlesen
CertLex Forecast: Bundesregierung will kleine Unternehmen vor Abmahnmissbrauch schützen Die letzten Monate haben gezeigt, dass die „Abmahnindustrie“ wegen angeblicher Datenschutzverstöße ... Weiterlesen
Compliance Cockpit jetzt auch für Einzelstandorte! Compliance Cockpit jetzt auch für Einzelstandorte! Sie befinden sich hier: START ARBEITSSICHERHEIT COMPLIANCE COCKPIT ... Weiterlesen

Wichtige Neuerungen, interessante News, informative Artikel – mit unserem Newsletter bleiben Sie immer auf dem Laufenden!

Letzte News

Arbeitssicherheit

CertLex-Veröffentlichung im Magazin "Der Umweltbeauftragte"
Clemens Nause und Leonard v. Schultzendorff, beide Syndikusrechtsanwälte der Certlex AG, haben im Fachmagazin „Der Umweltbeauftragte“ einen Beitrag zu den Veränderungen ... mehr
Neue arbeitsmedizinische Regel für Arbeiten unter UV-Strahlung
Inhalt: Das Bundesministerium für Arbeit und Soziales hat die Arbeitsmedizinische Regel (AMR) 13.3 bekannt gemacht. Diese konkretisiert, wann bei Tätigkeiten im ... mehr
Arbeitssicherheit /
Anpassung Datenschutzgrundverordnung: Kleine Betriebe werden entlastet
Der Bundesrat hat am 20. September 2019 einer Anpassung der Datenschutzgrundverordnung (DSGVO), die der Bundestag Ende Juni 2019 verabschiedet hatte, zugestimmt ... mehr
CertLex Anwendertreffen 2019 – Networking & Arbeitsschutz 4.0
Bei bestem Regenwetter empfing Hamburg seine Besucher am 11. September 2019 und erfüllte damit die Erwartungen viele der CertLex Anwender hinsichtlich ... mehr
Bundesregierung legt Entwurf für Novelle des Kreislaufwirtschaftsgesetz vor
Das Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit (BMU) hat Anfang August einen Gesetzesentwurf zur Umsetzung der Abfallrahmenrichtlinie (Richtlinie 2008/98/EG) und ... mehr
Suche

© 2019 CertLex AG