Ab dem 25.05.2018 regelt die EU Datenschutzgrundverordnung (DSGVO) die Verarbeitung personenbezogener Daten EU-weit einheitlich. Die DSGVO enthält dabei etliche neue Anforderungen, die zum Teil deutlich über das bisherige Bundesdatenschutzgesetz hinausgehen. Die DSGVO gilt ab dem genannten Zeitraum in den Mitgliedsstaaten direkt, das heißt ohne weitere Umsetzung ins nationale Recht.

Auf eine „Schonfrist“ in der Zeit nach dem 25.05.2018 sollte nicht spekuliert werden. Praktisch bedeutet das Datum für Unternehmen auf Grund der knapp bemessenen Zeit einen hohen Umsetzungsdruck, da die vorzunehmenden Änderungen erheblich in Unternehmensprozesse hineinwirken.

 Zu berücksichtigen sind bei der Umsetzung insbesondere:

  • Erweiterte Dokumentations- und Nachweispflichten
  • Risikobasierter Datenschutz
  • Datenschutz durch Technik (“privacy by design”) und datenschutzrechtliche Voreinstellungen (“privacy by default”)
  • Verzeichnis von Verarbeitungstätigkeiten
  • Informationspflichten des Verantwortlichen bei Datenerhebung
  • Datenschutz-Folgenabschätzung
  • Striktere Löschpflichten und Recht auf „Vergessenwerden“
  • Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
  • Datensicherheit
  • Zusätzliche Verantwortung für Datenschutzbeauftragte

Die Folgen bei Verstößen können erheblich sein. Es sind Geldbußen bis zu € 20 Mio. oder 4% des globalen (Konzern-)Umsatzes, Sammelklagen von Verbraucherverbänden und Ansprüche auf Schadenersatz von Einzelpersonen vorgesehen.

Die DSGVO gilt für die „Verarbeitung personenbezogener Daten“, womit jede Verwendung personenbezogener Daten gemeint ist. Personenbezogene Daten sind hier alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen, wie Name, Adresse, Geburtsdatum, Kontoverbindung, E-Mail-Adresse, Gesundheitsdaten u. a.

Unternehmen sollten dringend entsprechende Projekte aufsetzen, um am 25.05.2018 die Anforderungen der neuen DSGVO erfüllen zu können. Die Vorgaben der DSGVO sind dabei sehr prozessorientiert – Ablaufe sind genau zu beschreiben und deren Einhaltung nachvollzierbar zu dokumentieren.

notiert von Troßbach
10/2017