Last-Minute-Check Datenschutz – Wichtige Änderungen

Bußgelder werden Pflicht, höher und auch häufiger verhängt.“ Solche Ängste hört man in jüngster Vergangenheit fast reflexartig, wenn es um die Europäische Datenschutzgrundverordnung (DSGVO) geht.

Tatsächlich können ab dem 25. Mai 2018 Unternehmen Bußgelder bis zu 20 Mio. € bzw. vier Prozent des weltweiten Jahresumsatzes drohen. Ab diesem Zeitpunkt regelt die DSGVO den Datenschutz als unmittelbar geltendes Recht in der gesamten Europäischen Union (EU) neu. Parallel hierzu wird an demselben Tage ein vollständig neugefasstes Bundesdatenschutzgesetz (BDSG) in Kraft treten.

Nationale Abweichungen von der DSGVO sind nur noch möglich, wenn die DSGVO dies in entsprechenden „Öffnungsklauseln“ vorsieht. Sollten sich einzelne Normen widersprechen, so genießt die DSGVO als Europäische Regelung Anwendungsvorrang.

Genannten Sanktionen kann aber mit einem strukturierten Datenschutz-Management vorgebeugt werden.

 

Wichtige Änderungen im Datenschutz sind unter anderem:

1. Marktortprinzip

Die DSGVO findet bspw. auch dann Anwendung, wenn personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeitet werden und

  • das Unternehmen jedoch über eine Niederlassung in der EU verfügt oder
  • wenn Waren oder Dienstleistungen durch das Unternehmen in der EU angeboten werden.

Die bloße Zugänglichkeit einer Website soll nach den Erwägungsgründen der DSGVO noch kein „Anbieten“ im Sinne der DSGVO darstellen. Wichtige Indizien, ob ein „Anbieten von Waren/Dienstleistungen in der EU“ vorliegt, soll jedoch die Möglichkeit sein, Waren und Dienstleistung in einer EU-Sprache zu bestellen oder dass das Zahlen in Euro vorgesehen ist.

2. Drastische Erhöhung der Bußgelder und Sanktionen

Die Bußgelder werden angehoben, sodass je nach Art des Datenschutzverstoßes Bußgelder bis zu 20 Mio. € verhängt werden können.

Bei Unternehmen ist zudem eine Koppelung an den Jahresumsatz möglich. Ein Bußgeld kann sich je nach Art des Verstoßes auf bis zu vier Prozent des jährlichen Umsatzes im vorangegangenen Geschäftsjahr belaufen. Sollte ein Datenschutzverstoß von einem Unternehmen innerhalb eines Konzernverbunds begangen werden, ist es zudem möglich, den gesamten Konzernumsatz bei der Bemessung des Bußgelds heranzuziehen.

Auch die Strafvorschriften werden angepasst, sodass Verstöße nach § 42 Abs. 1 BDSG künftig mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe sanktioniert werden können.

3. Benennung eines Datenschutzbeauftragten

Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Anzahl der Beschäftigten besteht eine solche Verpflichtung beispielsweise auch, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen ist, oder bei der Verarbeitung sensibler personenbezogener Daten, wie bspw. Bonitäts- oder Gesundheitsdaten.

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, oder diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig bis zum 25.05.2018 zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar (Art. 83 Abs. 4 lit. a i.V.m. Art. 37 DSGVO).

4. Ausgeweitete Dokumentationspflicht

Eine zentrale Änderung durch die DSGVO wird für alle Unternehmen die Einführung einer „Rechenschaftspflicht“ sein, welche gem. Art. 5 Abs. 2 DSGVO von den Verantwortlichen fordert, dass sie „die Einhaltung des Gesetzes nachweisen können“. Hieraus ergibt sich, dass  nicht mehr wie bisher die Aufsichtsbehörden erst einen Verstoß nachweisen müssen, um ein Bußgeld zu verhängen. In Zukunft müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit nachzuweisen. Allein schon die fehlende Dokumentation kann zu einem Bußgeld führen, auch wenn die dazugehörige Verarbeitung der Daten rechtskonform ist.

5. Datenschutz und Datensicherheit

„Privacy by Design“ (Datenschutz durch Technikgestaltung) bedeutet, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT‑Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT‑Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden.

„Privacy by default“ (datenschutzfreundliche Voreinstellungen) bedeutet insbesondere, dass die Werkseinstellungen datenschutzfreundlich voreingestellt sein sollen, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind.

6. Erweiterung der Betroffenenrechte

Zu den ohnehin schon bestehenden Ansprüchen auf Information, Auskunft, Berichtigung und Einschränkung der Verarbeitung bringt die DSGVO das Recht auf Löschung (Art. 17 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) neu mit sich. Dies soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten stärken.

Empfehlungen:

Um den zahlreichen neuen Anforderungen gerecht zu werden, empfiehlt es sich, die betriebsinternen Abläufe und Prozesse im Unternehmen zunächst einem Last-Minute-Check Datenschutz zu unterziehen. Entsprechend dem datenschutzrechtlichen Ist-Zustand sind sodann in einem Datenschutzbericht die Maßnahmen zur Einhaltung der DSGVO und des BDSG herauszuarbeiten.

Sofern noch akut Handlungsbedarf besteht, sollten Unternehmen vorrangig folgende Last-Minute-Maßnahmen umsetzen:

  • Datenschutzbeauftragten benennen
  • Prozesse festlegen, insbesondere Datenschutzvorfall-Management
  • Datenschutzerklärung und Impressum anpassen / Informationspflicht nachkommen
  • Schriftliche Verträge zur Auftragsdatenverarbeitung abschließen
  • Verzeichnis der Verarbeitungstätigkeiten anlegen

Weitere Informationen zu den rechtlichen Anforderungen im Bereich Datenschutz finden Sie in unserem online Rechtsinformations-System CertLex!

Klicken Sie hier, wenn Sie Interesse haben, unser System kostenlos zu testen.

19.04.2018

Das könnte Sie auch interessieren

Urteil über Cookie-Hinweis auf Websites: Was müssen Unternehmen nun beachten? Urteil des EuGH verlangt aktive Einwilligung zur Cookie-Nutzung Der EuGH ... Weiterlesen
Anpassung Datenschutzgrundverordnung: Kleinere Betriebe werden entlastet Erst ab 20 Personen ist ein Datenschutzbeauftrater Pflicht! Der Bundesrat hat am 20. September ... Weiterlesen
„Keine Angst vor Abmahnung!“- CertLex informiert Leser des QZ-Magazins „Sind Verstöße gegen die Datenschutz-Grundverordnung (DGVO) abmahnfähig?“ – CertLex-Rechtsanwältin klärt auf ... Weiterlesen
CertLex Forecast: Bundesregierung will kleine Unternehmen vor Abmahnmissbrauch schützen Die letzten Monate haben gezeigt, dass die „Abmahnindustrie“ wegen angeblicher Datenschutzverstöße ... Weiterlesen

Wichtige Neuerungen, interessante News, informative Artikel – mit unserem Newsletter bleiben Sie immer auf dem Laufenden!

Letzte News

Arbeitssicherheit

Binnenschifffahrt soll sauberer werden
Die Bundesregiergung hat einen Entwurf eines Gesetzes zur Änderung des Übereinkommens vom 9. September 1996 über die Sammlung, Abgabe und Annahme von ... mehr
Umweltschutz /
Bundeskabinett beschließt Novelle des Kreislaufwirtschaftsgesetzes
Das Bundeskabinett hat einen Entwurf zur Änderung des Kreislaufwirtschaftsgesetzes beschlossen. Ziel ist es, weniger Abfall und mehr Recycling zu erreichen. Dazu ... mehr
Umweltschutz /
Neues Fördermodell „Energieeffizienz und Wärme aus erneuerbaren Energien“
Die Bundesregierung hat sich das Ziel gesetzt, bis zum Jahr 2030 die Treibhausgasemissionen um mindestens 55 Prozent gegenüber dem Basisjahr 1990 ... mehr
Energie /
Lagerung und Transport von Lithium-Batterien
Bei einer unsachgemäßen Lagerung oder Verwendung, aber auch infolge technischer Defekte können Lithium-Batterien durch Selbstentzündung und Erhitzung zu heftigen Brandereignissen verbunden ... mehr
CertLex Anwendertreffen 2020, Kassel, 17.09.2020
  Das diesjährige CertLex Anwendertreffen findet in Kassel statt. Das Anwendertreffen ist kostenfrei für CertLex Anwender. Die Veranstaltung soll dazu dienen, ... mehr
Events /
Suche

© 2019 CertLex AG