Am 25. Mai 2018 endet die zweijährige Übergangsfrist und die neue europäische Datenschutzgrundverordnung, kurz DSGVO, muss mit allen Anforderungen in den EU-Mitgliedsstaaten umgesetzt werden. Deshalb sollten die Vorgaben der DSGVO rechtzeitig beachtet werden und die bestehenden Datenverarbeitungsprozesse überprüft sowie gegebenenfalls der neuen Grundverordnung entsprechend geändert werden. Auch wenn sich bisherige Datenschutzprinzipen und viele bisherige Regelungen in der DSGVO wiederfinden, so ist die neue Verordnung deutlich strenger als bisher und soll für eine einheitliche Regelung des Datenschutzes in der gesamten europäischen Union sorgen.
Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, z.B. allgemeine Personendaten, Online-Daten (IP-Adresse, Standort-Daten, usw.), Kundendaten (z.B. Adressdaten, Kontodaten, Bestellungen, usw.), physische Merkmale (z.B. Geschlecht).
Um einschätzen zu können, wie es um die Rechtskonformität Ihres Unternehmens bei der Umsetzung der DSGVO steht, bietet das Bayerische Landesamt für Datenschutzaufsicht einen Katalog von 28 Fragen zur Selbsteinschätzung an. Hier können Sie überprüfen, ob noch Maßnahmen zu treffen sind.
Folgende Punkte sind bei der neuen DSGVO besonders zu beachten:
- Neue Definition personenbezogener Daten
- Transparenz- und Informationspflichten werden erhöht (gegebenenfalls bedingt dies Änderungen der bestehenden Datenschutzerklärung auf der Webseite)
- Privacy by Design (bereits bei der Entwicklung bspw. von Hardware oder Software müssen Datenschutzvorschriften verpflichtend berücksichtigt werden)
- Recht auf Löschung („Vergessenwerden“)
- Bestellung eines Datenschutzbeauftragten (wenn das Unternehmen personenbezogene Daten automatisiert verarbeitet und damit in der Regel mehr als 9 Personen ständig beschäftigt)
- Verantwortlichkeit bei der Auftragsverarbeitung
- Meldepflicht für Datenlecks und Datenpannen
- Neue Vorgaben zur Website-Compliance
- „Verzeichnis der Verarbeitungstätigkeiten“ und Risikoabschätzung
- Hohe Bußgelder bei Verstößen (Bußgeldrahmen wird bis auf 20 Millionen Euro, bzw. vier Prozent des weltweiten Jahresumsatzes erhöht – z.B. bei einem weltweiten Jahresumsatz von einer Million Euro wären das 40.000 Euro)
- Zunahme der Dokumentationspflicht
- Rechenschaftspflicht (Accountability)
Gerade der letzte Punkt, die Einführung der „Rechenschaftspflicht“ durch die DSGVO ist eine sehr bedeutsame Änderung. Anders als bisher müssen die Verantwortlichen eines Unternehmens ab 25. Mai 2018 die Einhaltung der DGSVO jederzeit nachweisen können. Selbst wenn in einem bestimmten Fall die Datenverarbeitung rechtskonform erfolgte, drohen Bußgelder, falls dies nicht dokumentiert und nachgewiesen werden kann.
Zudem dient die Dokumentation nicht nur als Nachweis gegenüber der Datenschutzaufsicht, sondern auch bei gerichtlichen Verfahren und zur nachträglichen Information Betroffener. Wir empfehlen die Integration der geforderten Anforderungen zum Datenschutz in Ihrem bestehenden Managementsystem, bzw. den Aufbau der erforderlichen Dokumentation in Ihrem Unternehmen.
Wir freuen uns, wenn Sie bei Fragen zu diesem Thema Kontakt mit uns aufnehmen. Noch ist Zeit, für die neue DSGVO gut vorbereitet und gerüstet zu sein.