EU-Datenschutzgrundverordnung

Gesetzesbuch und Gerichtshammer

Nun ist es amtlich. Ab dem 25. Mai 2018 gelten die gleichen Datenschutzregelungen in ganz Europa. Nach mehreren Jahren Arbeit und mehreren tausend Eingaben von Lobbyisten wurde nun die Datenschutzverordnung für alle Unternehmen in Europa verabschiedet.

Um es vorwegzunehmen - es wird für Unternehmen nicht einfacher. Obwohl die deutsche Bundesregierung und deren dazugehörigen Lobbyisten nichts unversucht ließen, mit der EU-Daten­schutz­grund­verordnung ein niedriges Daten­schutz­niveau zu etablieren, ist am Ende der Verhandlungen ein Kompromiss herausgekommen, der nicht alle Parteien zufriedenstellen wird.

Die Gesetzes­umstellung wird dadurch viel Aufwand mit sich bringen. Unternehmen sollten sich in dem verbleibenden Zeitraum auf die neue Verordnung vorbereiten. Die Aufsichtsbehörden werden in Zukunft konkrete Rechte und Mittel an die Hand bekommen, die Einhaltung der EU-Datenschutzgrundverordnung zu erzwingen.

In ganz Europa gelten ab 2018 dann einheitliche Regelungen. Nationale Besonderheiten sind eher die Ausnahme, wie z.B. weitere Beschränkungen für die Verarbeitung sensibler Daten (Biometrie, Genetik oder Gesundheitsdaten).

Nutzer werden ein ausdrückliches Löschrecht bekommen, wenn diese nicht länger benötigt werden. Sie müssen jeder Datenverarbeitung ausdrücklich zustimmen, die nicht zum ursprünglich vereinbarten Zweck erfolgt. Beschwerden über ein Unternehmen können im Heimatland des Betroffenen durch­geführt werden.

Empfindliche Bußgelder mit bis zu vier Prozent des globalen Vorjahresumsatzes könnten verhängt werden für Unternehmen, die sich nicht an die neue Verordnung halten.

Die Anpassung der Dokumentation und Datenschutz­vereinbarungen an die neue Rechts­grundlage für alle Unter­nehmen und deren Autragsdienstleister (und dessen Unter­auftrag­nehmer) wird viel Zeit in Anspruch nehmen, sofern man sich noch nicht vorab mit diesem Thema auseinandergesetzt hat.

Es wird weiterhin eine Informationspflicht an Aufsichtsbehörden bei einem Datenmissbrauch binnen 72 Stunden geben, das Recht auf Vergessen und Daten­portabilität wird eingeführt und jedes Unternehmen muss umfangreiche Informationspflichten gegenüber dem Nutzer erfüllen. Im Bereich des Beschäftigten­datenschutzes müssen alle Betriebs­verein­barungen an die neue Gesetz­gebung angepasst werden.

Unsere Empfehlung: Kümmern Sie sich frühzeitig um die Umsetzung, damit Sie sukzessiv und ohne operative Einschränkungen zum Start der Verordnung die gesetzlichen Anforderungen erfüllen. Wir stehen Ihnen dabei mit Rat und Tat zur Seite.

Unser Leistungsangebot

Die IT.DS Beratung bereitet sich jetzt schon für Sie auf die neue EU-Datenschutzgrundverordnung vor, insbesondere in folgenden Punkten:

  • Herstellung von Transparenz in Bezug auf die neue Gesetzgebung.
  • Erstellung oder Aktualisierung ihres Prozesshandbuchs bzw. Ihrer Dokumentationen.
  • Ableiten adäquater Maßnahmen und Empfehlungen für Ihr Unternehmen.
  • Operative Mitarbeit bei der Umsetzung von Maß­nahmen, wie z.B. bei der Veränderung Ihrer Online-Auftritte oder Betriebs­verein­barungen.
  • Schulung Ihrer Mitarbeiter auf die neue EU-Datenschutzgrundverordnung und deren Inhalte.
  • Durchführen von Risikoanalysen und Aufwandsabschätzung für die notwendigen Änderungen.
  • Erstellung von konzerninternen Regelungen (BCR – Binding Corporate Rules).
  • Kommunikation mit nationalen Datenschutzbehörden.


Unsere Stärke liegt darin, pragmatische, effiziente aber auch nachhaltige Lösungen in Bezug auf die neue EU-Datenschutzgrundverordnung zu erarbeiten und umzusetzen.

Weitere Detailinformationen erhalten Sie durch Klicken auf die folgenden Themenbereiche.

Für wen gilt das Gesetz?

Das Gesetz gilt für jede Privatperson oder jedes Unternehmen, das allein oder mit anderen Parteien über den Zweck und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Aber auch hier gibt es ein paar Ausnahmen, die es zu beachten gilt.

Ab wann gilt die neue Gesetzgebung?

Die neue EU-Datenschutzgrundverordnung tritt am 25. Mai 2018 in ganz Europa in Kraft. Das erklärte Ziel der Verordnung ist die Umsetzung der informationellen Selbstbestimmung für EU-Bürger. Jeder soll mehr Kontrolle über seine Daten erhalten und das in allen Ländern. Das Bundesdatenschutzgesetz wird es in der jetzigen Form nicht mehr geben. Weitere deutsche Gesetze werden voraus­sichtlich ebenfalls abgeschafft,wie z.B. die Landes­daten­schutz­gesetze oder das Kunst­urheber­gesetz (KunstUrhG). Nicht enthalten werden Regelungen sein im Hinblick auf die Polizei und die Straf­gesetz­gebung.

Was sind die wichtigsten Elemente der EU-Datenschutzgrundverordnung?

Im Gesetz sind folgende Kernpunkte enthalten, die für Unternehmen diverse Pflichten beinhalten. Finden Sie hier die wichtigsten Punkte der EU-Datenschutzgrundverordnung

  • Der Nutzer hat Anspruch darauf, in leicht verständlicher Information zu erfahren, welche Daten über ihn gesammelt werden und wer seine Daten zu welchem Zweck, wie und wo verarbeitet.
  • Unternehmen müssen den Nutzer künftig (noch) ausführlicher darüber informieren, wenn z.B. Unbefugte Zugriff auf seine Daten bekommen haben.
  • Personenbezogene Daten gehören dem Nutzer, nicht dem mit der Datenverarbeitung befassten Internetdienst. Die Daten sollen daher nur noch nach ausdrücklicher Zustimmung genutzt werden können. Außerdem soll es für die Nutzer einfacher werden, diese Zustimmung zu widerrufen.
  • Das "Recht auf Vergessen" wird nochmals gestärkt. Unternehmen müssen Nutzerdaten dann löschen, wenn die Betroffenen dies wünschen und es keine legitimen Gründe für eine weitere Speicherung der Daten gibt.
  • Für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten wird einheitlich ein Alter von 16 Jahren angesetzt. Ggf. sind hier Sonderregelungen möglich.
  • Verbraucher können sich künftig bei Beschwerden über Datenverstöße immer an die Datenschutzbehörde in ihrem Land wenden und dort Beschwerden einreichen, auch wenn die Unternehmen ihren Sitz in anderen Staaten haben. Die Kooperation der nationalen Datenschutz­stellen soll verbessert werden.
  • Die räumliche Ausrichtung des Gesetzes ist sehr weit gefasst. Auch Firmen außerhalb der EU müssen sich fortan an die europäischen Vor­gaben im Daten­schutz halten, z.B. wenn die Daten von EU-Bürgern verarbeitet werden.
Gibt es auch Vorteile für Unternehmen?

Durch die Regelung wird für die gesamte EU ein einheitliches Regelungswerk geschaffen, das grenzüberschreitende Tätigkeiten erleichtert und damit Bürokratiekosten senken soll. In einigen Ländern werden die Unternehmen aber deutliche Mehrkosten haben, wie z.B. England. Denn hier galt bisher ein komplett anderes Datenschutzprinzip. Sämtliche Daten durften bisher gesammelt werden, die Verfahren mussten aber an die Regierung gemeldet werden.

Auch Unternehmen mit Sitz insbesondere in den U.S.A. oder in der Schweiz müssen sich an die Regeln halten, wenn sie Dienstleistungen in der EU anbieten wollen.

Betriebliche Datenschutzbeauftragte müssen nur noch für große Unternehmen bestellt werden, soweit diese in großem Ausmaß sensible Daten verarbeiten oder das Verhalten von Verbrauchern überwachen. Kleine und mittlere Unternehmen sind von dieser Pflicht ausgenommen, es sei denn, die Verarbeitung personenbezogener oder sensibler Daten ist deren hauptsächlicher Geschäftszweck.

Aber die nationale Stellungnahme zu der EU-Daten­schutz­grund­verordnung von Deutschland steht noch aus. So kann es sein, dass die Bestellung eines Datenschutzbeauftragten, wie jetzt auch schon, für weitere Unternehmen gelten wird. Hier muss also noch abgewartet werden, welche zusätzlichen Änderungen auf die Bestellpflicht zukommen wird. Fest steht aber jetzt schon - ob ein Datenschutzbeauftragter bestellt werden muss oder nicht - die Anforderungen an den Datenschutz werden deutlich steigen.

Was kosten die Verstöße gegen das neue Gesetz?

Unternehmen, die sich nicht an die EU-Datenschutz­grund­verordnung halten, müssen in Zukunft mit deutlich höheren Strafen rechnen. Je nach Verstoß im Datenschutz können Straf­zahlungen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten abgelaufenen Finanzjahres. Bei weniger schweren Verstößen können Straf­zahlungen mit bis zu 2 Prozent oder 10 Millionen Euro fällig werden. Dabei sind folgende Punkte stets zu berücksichtigen:

  • die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung
    • der Art,
    • des Umfangs oder des Zwecks der betreffenden Verarbeitung, sowie
    • der Zahl der von der Verarbeitung betroffenen Personen und
    • des Ausmaßes des von ihnen erlittenen Schadens;
  • der Vorsätzlichkeit oder Fahrlässigkeit des eingetretenen Schadens
  • dem Anteil der Verantwortlichkeit (z.B. bei Einsatz von Auftragsdienstleistern) und den eingehaltenen Maßnahmen zum Schutz der Daten (Datensicherheit)
  • Wiederholung der Straftat
  • Umfang der Zusammenarbeit mit den Aufsichtsbehörden, um Transparenz zu schaffen bzw. größeren Schaden zu mindern oder zu verhindern.
  • der Art der Daten (z.B. Gesundheitsdaten in der Apotheke)
  • wie der Verstoß bekannt geworden ist (aktiv oder reaktiv)
  • usw.

Wie man anhand dieser Liste schon sieht, ist es wichtig, sich frühzeitig mit dem Thema auseinanderzusetzen und die Risiken für sich zu ermitteln. Nur dann kann das Unternehmen sich frühzeitig und ohne Hektik im operativen Alltag die notwendigen Schritte einplanen und umsetzen.

Welche Befugnisse hat die Aufsichtsbehörde ab 2018?

In Artikel 53 der EU-Datenschutzgrundverordnung werden die Befugnisse der Aufsichts­behörde aufgelistet. Diese Befugnisse sind im Gegen­satz zu dem Bundes­daten­schutz­gesetz weit gestaltet und dürfen in Zukunft dazu führen, dass Verstöße auch tatsächlich umgesetzt werden.

Ein paar Beispiele dazu:

  • Anweisung, sämtliche Informationen zum Datenschutz des Unternehmens und dessen Auftragsdienstleiter bereitzustellen.
  • Durchführung von Datenschutzüberprüfungen bei dem Unternehmen
  • Erwirken von Zugriffen auf alle personenbezogenen Daten und Informationen, um den Verstoß zu prüfen.
  • Anweisung an das Unternehmen, adäquat Verstöße in einem bestimmten Zeitraum zu beseitigen.
  • Anweisung, die betroffene Personen über den Verstoß zu informieren.
  • Vorübergehende oder endgültige Einstellung der Verarbeitung oder Übermittlung der Daten.
  • Anordnung, Daten zu berichtigen, einzuschränken oder zu löschen.
  • Widerruf einer Zertifizierung
  • Verhängen von Geldbußen
Welche Pflichten ergeben sich für Unternehmen?

Im jetzigen Stadium sind noch viele Unklarheiten im Gesetz zu finden, aber die Grundprinzipien des Datenschutzes werden weiterhin wie in Deutschland gewohnt bleiben, wie Datensparksamkeit, Verbot mit Erlaubnisvorbehalt, Traparenz, Zweckbindung, Datenvermeidung, sowie Datenqualität, Integrität und Vertraulichkeit.

Unternehmen werden diverse Pflichten auferlegt, wie z.B. 

  • Pflicht zur Unterrichtung der betroffenen Personen
  • Pflicht zur Auskunftserteilung und Datenübermittlung an die betroffene Person
  • Pflicht zur Bereitstellung und Vervollständigkeit personenbezgoener Daten
  • Pflicht zu Vornahme von Verarbeitungsbeschränkungen
  • Pflicht zur Datenportabilität
  • Pflichten im Bereich Profiling
  • Pflicht zur Benennung eines Vertreters
  • Pflichten zur Einhaltung von gesetzlichen Vorgaben im Bereich der Auftragsdatenverarbeitung
  • Pflichten zur Benachrichtigung bei Datenschutzverstößen
  • Pflichten zur Datenschutzfolgenabschätzungen
  • Pflichten der Dokumentation
  • Pflichten zur Datensicherheit
  • Pflichten zur Gestaltung von Software und Hardware
  • Pflicht zur Bestellung von Datenschutzbeauftragten (diverse Ausnahmeregelungen)
  • usw.

 

Was muss ich jetzt konkret tun?

Wenn man den Gesetzestext der EU-Datenschutz­grund­verordnung liest, wird schnell klar, dass viele Begriffe in den Artikeln dehnbar sind. Die konkrete Umsetzung in den Unternehmen wird, wie beim Bundes­datenschutz­gesetz auch, erst durch Recht­sprechungen klarer werden. Aber schon jetzt sollten Unter­nehmen Transparenz in ihre Datenverarbeitung bringen. Dieser Aufwand ist gut investiert, denn sie können nahezu komplett in die neue Gesetzgebung übernommen werden, dazu gelten ins­besondere folgende Fragestellungen:

  • Welche Daten von Personen werden durch wen wann erhoben, verarbeitet oder genutzt?
  • Welche Unternehmen spielen dabei eine Rolle?
  • Auf welchen IT-Systeme werden die Daten gespeichert?
  • Welche Auftragnehmer (und dessen Unter­auftrag­nehmer) haben ebenfalls Zugriff auf die Daten?
  • Wie sind die Daten geschützt?
  • Wie reagiert das Unternehmen auf Anfragen?
  • Wie dokumentiert das Unternehmen sämtliche Prozesse?

Wir sind jetzt schon dabei, unsere Mandanten auf die neue EU-Datenschutz­grund­verordnung vorzubereiten. Nehmen Sie gerne Kontakt auf, wie wir sie als Datenschutzberater oder als externer Datenschutzbeauftragter unterstützen können.

Das Bundes­amt für Wirtschaft und Aus­fuhr­kontrolle (BAFA) betreut die Förderung unter­nehmerischen Know-hows für Unter­nehmen durch Unter­nehmens­berat­ungen. In diesem Rahmen sind auch unsere Leistungen förderbar. Wir haben schon diverse Förder­gelder für unsere Kunden beantragen können.

Kontaktieren Sie uns gerne für ein unverbindliches Gespräch.

Datenschutz

Die digitale Verarbeitung personenbezogener Daten von Kunden und Beschäftigten gehört zum Arbeitsalltag. Wir stehen für eine angemessene branchen- und unternehmensspezifische Beratung.

Datenschutz EINFACH machen!

Informationssicherheit

Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Die IT.DS Beratung ist kompetenter Ansprechpartner im Bereich IT-Security.

Informationssicherheit EINFACH machen!

Arbeitssicherheit

Die Sicherheit der Beschäftigten bei der Arbeit und die Förderung der Gesundheit sind essentielle Unternehmens­ziele. Unsere Fachkräfte für Arbeitssicherheit sind überregional tätig.

Arbeitssicherheit EINFACH machen!

Qualitätsmanagement

Die Zertifizierung nach ISO 9001 stellt für Unternehmen meist eine große Herausforderung dar.
Interne Audits und integrierte Managementsysteme sind unsere Leidenschaft.

Qualitätsmanagement EINFACH machen!

IT.DS Beratung

Sie sind auf der Suche nach einem kompetenten und zuverlässigen Dienstleister. Wir bieten unseren Kunden praxisnahe Lösungen.

Die IT.DS Beratung EINFACH kennenlernen!