Ein Überblick über die wichtigsten Änderungen der neuen EU-Datenschutzgrundverordnung

Erweiterte Dokumentations- und Nachweispflicht

Die EU-Datenschutzgrundverordnung sieht deutlich erweiterte Nachweispflichten vor. Sie müssen beweisen können, dass Sie die neuen Regelungen einhalten. Dazu benötigen Sie eine ausführliche Dokumentation. 

Informationspflicht bei Datenerhebung beim Betroffenen

Künftig müssen Sie Personen, deren Daten sie erheben, deutlich umfassender als bislang über die Datenverarbeitung informieren. Sie müssen also Ihren Kunden, Mitarbeitern usw. genau mitteilen, welche Daten in Ihrem Unternehmen genutzt werden, wie diese verarbeitet werden, ob diese an Dritte weitergegeben werden und wer für die Datenverarbeitung verantwortlich ist.

Verarbeitungsverzeichnis

Die EU-Datenschutzgrundverordnung schreibt vor, dass Sie ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten führen müssen. Dieses Verarbeitungsverzeichnis ist eines der zentralen Instrumente zur Umsetzung der Dokumentationspflichten.


Das Verzeichnis müssen Sie schriftlich oder in elektronischer Form führen. Auf Anforderung der Datenschutz-Aufsichtsbehörde müssen Sie dieses vorlegen. So verschafft sich die Aufsichtsbehörde einen ersten Eindruck über die Einhaltung der Gesetze in Ihrem Unternehmen.

Datenschutz-Folgenabschätzung

Verarbeitet Ihr Unternehmen Daten, die voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge haben, müssen Sie eine Datenschutz-Folgen-Abschätzung durchführen. Diese ist verpflichtend, wenn in Ihrem Unternehmen besondere Kategorien personenbezogener Daten verarbeitet werden. Das sind Daten die folgende Informationen beinhalten oder aus denen man Rückschlüsse auf diese Inhalte ziehen kann:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen 
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben oder sexuelle Ausrichtung einer Person
  • genetische oder biometrische Daten zur eindeutigen Identifizierung einer Person

Ebenso zählt die Videoüberwachung als hohes Risiko für die Rechte und Freiheiten von betroffenen Personen. Auch hier muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Datenschutz durch Technik

In Zukunft müssen Sie Ihre IT-Systeme grundsätzlich so gestalten, dass Sie die EU-Datenschutzgrundverordnung wirksam umsetzen können.

Ihre so „voreingestellten“ IT-Systeme sollen nur personenbezogene Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind. Ziel dieser Maßnahmen ist, grundsätzlich personenbezogene Daten zu minimieren und die Daten so schnell wie möglich zu pseudonymisieren.

Datensicherheit (technisch-organisatorische Maßnahmen)

Eine weitere für Sie wesentliche Änderung ist das Bußgeldrisiko bei unzureichender Datensicherheit. Bislang waren Verstöße gegen die Datensicherheit nicht bußgeldbewehrt. Dies ändert sich mit der Verordnung.

Eine Leitlinie für die technisch-organisatorische Maßnahmen wie es sie bisher gab, gibt es nun nicht mehr. Sie als Unternehmer müssen selbst für die nötige Sicherheit sorgen. Das ist eine wesentliche Änderung gegenüber dem bisherigen Bundesdatenschutzgesetz.

Um die Datensicherheit und auch die geforderte Dokumentation umzusetzen, sollten Sie ein IT-Sichheitsmanagement einführen. In Deutschland empfiehlt es sich den BSI-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik anzuwenden.

Datenschutzbeauftragter

Zusätzlich zur EU-Datenschutzgrundverordnung, fordert das neue deutsche Bundesdatenschutzgesetz das Unternehmen in denen 10 oder mehr Personen auf personenbezogene Daten zugreifen, einen Datenschutzbeauftragten zu bestellen. Sie müssen ebenfalls einen Datenschutzbeauftragten bestellen, unabhängig von der Anzahl der Personen in Ihrem Unternehmen, wenn Sie verpflichtet sind, eine Datenschutz-Folgenabschätzung durchzuführen.

! Damit kann die Aufsichtsbehörde leichter überprüfen, ob Sie der Pflicht zur Bestellung eines Datenschutzbeauftragen nachgekommen sind.

Wenn Sie einen internen Mitarbeiter zum Datenschutzbeauftragten bestellen, hat dieser Mitarbeiter einen erhöhten Kündigungsschutz. Der Unternehmer, Personalleiter oder IT-Leiter darf nicht zum Datenschutzbeauftragten bestellt werden.

Meldepflicht bei Verstößen (Datenpannen)

Die Verordnung sieht umfassendere Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor. Wesentliche Voraussetzung für eine mögliche Melde- bzw. Benachrichtigungspflicht ist die Datenschutzverletzung.

Eine Datenschutzverletzung liegt vor, wenn Daten zufällig oder unrechtmäßig vernichtet oder verändert werden.

Auch bei der Weitergabe an Unbefugte oder Einsicht durch diese, liegt eine Datenschutzverletzung vor.

Grundsätzlich müssen Sie der Aufsichtsbehörde jede Datenschutzverletzung innerhalb von 72 Stunden, nachdem diese Ihnen bekannt wurde, melden.

Bußgelder

Die wohl größte Änderung liegt bei den Bußgeldern. Die EU-Datenschutzgrundverordnung sieht für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes vor. Je nachdem, was höher liegt.

Bei Unternehmen kommen mit der umsatzbezogenen Berechnung noch deutlich höhere Bußgelder in Betracht. Bei großen Unternehmen oder Konzernen können durchaus dreistellige Millionenbeträge erreicht werden.

Auch natürliche Personen, z.B. Sie als Unternehmer oder Ihre Mitarbeiter, die an Verstößen gegen die Verordnung beteiligt sind, müssen persönlich mit Geldbußen von bis zu 20 Millionen Euro rechnen. Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht drastisch.

Die Aufsichtsbehörden sollen sicherstellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.

Haftung

Neben den Bußgeldern steigen Ihre Risiken auch im Hinblick auf die zivilrechtliche Haftung. Nach der EU-Datenschutzgrundverordnung sind materielle und immaterielle Schäden zu erstatten, die auf Verstößen gegen die Verordnung zurückgehen. Die ausdrückliche Nennung immaterieller Schäden kann in der Praxis zu einer erheblichen Veränderung gegenüber der bisherigen Rechtslage führen.

Deutsche Gerichte hielten sich in der Vergangenheit zurück, betroffenen Personen im Fall von Datenschutzverstößen nennenswerte Schadensersatzzahlungen zu zusprechen. Hier werden die Gerichte künftig auf der Grundlage der Verordnung neue Maßstäbe anlegen.

Eine weitere Neuerung ist die ausdrückliche Erweiterung der Haftung, auch auf Auftragsverarbeiter. Das bedeutet, wenn Ihr Unternehmen Daten für ein anderes Unternehmen verarbeitet, haftet Ihr Unternehmen auch für die Verstöße Ihres Auftraggebers. Dies gilt auch im umgekehrten Fall. Hier sollten Sie in Zukunft ein besonderes Augenmerk auf die Auswahl Ihrer Dienstleister legen.