Artikelserie „Compliance im Mittelstand" – Teil 4

Einigung bei der EU-Datenschutzgrundverordnung

Am 15. Dezember 2015 haben sich EU-Kommission, -Parlament und -Ministerrat nach schwierigen Verhandlungen auf einen Kompromisstext der EU-Datenschutzgrundverordnung (DSGVO) geeinigt.

Im Frühjahr 2018 wird voraussichtlich die neue EU-Datenschutzgrundverordnung (DSGVO) in den EU-Mitgliedsstaaten zur Anwendung kommen. - Foto: © momius - Fotolia.com
Im Frühjahr 2018 wird voraussichtlich die neue EU-Datenschutzgrundverordnung (DSGVO) in den EU-Mitgliedsstaaten zur Anwendung kommen. - Foto: © momius - Fotolia.com

Nach der formalen Zustimmung durch EU-Parlament und EU-Ministerrat kann die DSGVO im Amtsblatt der EU verkündet werden und tritt dann 20 Tage nach Verkündung in Kraft. Anwendbar und damit geltendes Recht in allen EU-Mitgliedstaaten sind die rund 91 Artikel der DSGVO jedoch erst zwei Jahre später – voraussichtlich im Frühjahr 2018.

Die zweijährige Frist bis zur Anwendbarkeit der DSGVO sollte Unternehmen ausreichend Gelegenheit bieten, sich auf die neue Rechtslage vorzubereiten, zumal grundlegende Datenschutzprinzipien, die bereits in der Datenschutzrichtlinie (95/46/EG) und dem Bundesdatenschutzgesetz verankert waren, auch weiterhin maßgeblich sein werden (Erlaubnisvorbehalt, Zweckbindung, Erforderlichkeit, Transparenz). Verschärft werden indes die Anforderungen an die Datenschutzorganisation und Dokumentation. Nicht nur die Einführung einer Meldepflicht bezüglich Sicherheitsvorfällen (Data Breach), sondern auch das Erfordernis einer Datenschutzfolgenabschätzung, der Dokumentation der Datenverarbeitungsvorgänge und komplexe Informationspflichten gegenüber Betroffenen setzen eine hinreichend professionalisierte Datenschutzorganisation in Unternehmen voraus.

Der Datenschutzbeauftragte (DSB) kann dabei eine zentrale Rolle spielen. Zwar wurde die strenge Pflicht zur Bestellung eines DSB ab einer bestimmten Mitarbeiterzahl nicht in die DSGVO übernommen. Vielmehr soll für die Bestellungspflicht maßgeblich sein, welche Daten (besonders sensible Daten) verarbeitet und welche Verarbeitungsvorgänge (Auswertung und Überwachung von Betroffenen) vorgenommen werden. Allerdings sieht die DSGVO vor, dass die Mitgliedstaaten hier noch strengere nationale Vorgaben aufstellen können. Es ist zu erwarten, dass Deutschland hiervon Gebrauch machen wird. Auch die Sanktionen für Datenschutzverstöße werden erheblich verschärft. Während das BDSG Bußgelder von bis zu 300.000 Euro vorsieht, erlaubt die DSGVO nun Bußgelder bis zu 20 Millionen Euro oder in Höhe von 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens. Bemerkenswert ist dabei, dass nicht nur materielle Verstöße, sondern auch organisatorische Pflichtverletzungen geahndet werden können.

Für Fragen und Anregungen nehmen Sie gerne Kontakt mit uns auf.

Ansprechpartner

Dr. Tobias Brouwer

E-Mail: brouwer@vci.de