Am 24. Mai 2016 ist die Datenschutzgrundverordnung (DS-GVO) in Kraft getreten. Nach einer Übergangszeit von zwei Jahren ist die DS-GVO ab dem 25. Mai 2018 anzuwenden. Außerdem tritt dann das neue Bundesdatenschutzgesetz in Kraft. Grundsätzlich ist jeder Unternehmer betroffen: So genügt es z.B. schon die Telefonnummer eines Kunden zu notieren, eine Website zu haben oder Daten in einer Cloud zu speichern.

Zusammenfassend sind die 10 wichtigsten Regeln

Geltungsbereich:
Die Datenschutzgrund-Verordnung (DS-GVO) gilt unter anderem auch für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der Ort der Datenverarbeitung spielt keine Rolle mehr.

Datenschutzkonzept:
Jedes Unternehmen muss nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt („Rechenschaftspflicht“) und dieses muss auch regelmäßig kontrolliert und ggf. weiterentwickelt werden.

Informationsrechte:
Die Kunden/ Interessenten eines Unternehmens sind umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. Wenn als Rechtsgrundlage die Interessensabwägung herangezogen wird, müssen auch die „berechtigten Interessen“ aufgezählt werden.

Privacy by design und by default:
Der Datenschutz ist zukünftig schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.

Risikoanalyse und Folgenabschätzung:
Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.

Datenschutz in Konzernen:
Ein Konzernprivileg gibt es weiterhin nicht, aber die Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden Übermittlungen für interne Verwaltungszwecke als „legitim“ anerkannt. Andererseits können sich mehrere Stellen zusammenschließen, um Daten gemeinsamen zu verarbeiten – sie handeln und haften dann als gemeinsame Verantwortliche.

Datenschutzverstöße:
Zukünftig müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen.

Datenschutzbeauftragter:
In Deutschland soll die Bestellpflicht für Datenschutzbeauftragte weiterhin unverändert nach den Vorgaben des alten Bundesdatenschutzgesetzes bestehen. Die DS-GVO enthält eine Öffnungsklausel, die der deutsche Gesetzgeber nutzen möchte. In den anderen europäischen Mitgliedsstaaten müssen nur dann Datenschutzbeauftragte bestellt werden, wenn höhere Datenschutzrisiken bestehen.

Aufsichtsbehörden:
Für internationale Organisationen/ Unternehmen ist nur noch die Datenschutz-Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig („federführende Aufsichtsbehörde“). Kunden/ Interessenten können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.

Bußgelder:
Fast jeder Verstoß gegen die DS-GVO kann geahndet werden. Der Bußgeldrahmen wird u.a. deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung? Sprechen Sie uns gerne an.

Quellen: Handelskammer Hamburg, Haufe, dsgvo-gesetz.de, e-Recht24.de, Datenschutz.or, datenschutz nord Gruppe, Datenschutzkonferenz, Bayrisches LDA, eigene Recherchen