28.11.2017

Der Countdown läuft - Gut vorbereitet auf das Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018?

Der Countdown läuft. In weniger als sechs Monaten ist es soweit. Denn am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Zeitgleich gilt das neue Bundesdatenschutzgesetz. Die geplante e-Privacy-Verordnung wird zur Komplexität der Materie beitragen. Die DS-GVO beinhaltet für Unternehmen aller Branchen umfangreiche neue Anforderungen. Die Verordnung sieht vor allem folgende Neuerungen vor:

Rechenschaftspflicht (Art. 5 DS-GVO)

Zwar gelten die Grundsätzen der Datenverarbeitung im Wesentlichen fort. Allerdings wird es künftig nicht ausreichen, diese Grundsätze einzuhalten, sondern deren Einhaltung muss auch nachgewiesen werden.

Erweiterung der Informations- und Betroffenenrechte (Art. 13, 14 DS-GVO)

Entsprechend dem Transparenzgebot müssen die von der Verarbeitung personenbezogener Daten betroffenen Personen über eine Vielzahl von Angaben informiert werden. Gegenüber dem Bundesdatenschutzgesetz werden die Informationspflichten deutlich erweitert (Artikel 13, 14 DS-GVO), z.B. um die Angabe des Zwecks und der Rechtsgrundlage der Datenverarbeitung, berechtigte Interessen des Verantwortlichen oder Dritten, Empfänger der Daten, voraussichtliche Dauer der Datennutzung, Hinweis auf Betroffenenrechte und Beschwerderechte.

Darüber hinaus werden Unternehmen verpflichtet, ein Konzept mit entsprechenden Fristen zur Löschung der Daten zu entwickeln.

Rechte der betroffenen Personen – Beschwerdemanagement (Art. 15-21 DS.GVO)

Nach der DS-GVO stehen betroffenen Personen neben dem Auskunftsrecht, das deutlich umfangreicher als bisher ist, ein Recht auf Berichtigung, künftig auch das Recht auf Löschung bzw. "Vergessenwerden", ein Recht auf Datenportabilität, das Recht auf Einschränkung der Verarbeitung sowie ein Widerspruchsrecht zu.

Die in der DS-GVO geregelten Betroffenenrechte sind in den unternehmensinternen Abläufen abzubilden. Zudem empfiehlt es sich, ein entsprechendes Beschwerdemanagement einzurichten, um diese Ansprüche erfüllen zu können.

Ergänzung der Datenschutzerklärung (Art. 13 DS-GVO)

Durch die DS-GVO erhöht sich der Umfang der Pflichtinformationen, die eine Datenschutzerklärung auf einer Webseite enthalten muss. Die bisherige Datenschutzerklärung muss um den umfangreichen Katalog an Pflichtinformationen in Artikel 13 Abs. 1 DS-GVO (s.o.) aktualisiert werden.

Vertragsmanagement (Art. 28, 29 DS-GVO)

Bei Verträgen zur Auftragsdatenverarbeitung, zur Übermittlung von personenbezogenen Daten und sonstigen Verträge, die die Verarbeitung personenbezogener Daten beinhalten, ist sicherzustellen, dass diese den Anforderungen der DS-GVO entsprechen.

Pflichten bei der Auftragsdatenverarbeitung (Art. 28, 30 DS-GVO)

Die DS-GVO enthält neue Dokumentationspflichten bei der Auftragsdatenverarbeitung: Der Verantwortliche (bisher Auftraggeber) sowie der Auftragsverarbeiter (bisher Auftragnehmer) sind verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Des Weiteren sind Weisungen bei Auftragsverarbeitungsverhältnissen sowie die rechtzeitige Meldung von Datenschutzvorfällen zu dokumentieren.

Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) - Bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte natürlicher Personen bergen (wie beispielsweise bei systematischem und extensivem Profiling oder bei der systematischen Verarbeitung von Daten in großem Umfang), muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen und in bestimmten Fällen die Aufsichtsbehörde vor der Verarbeitung konsultieren.

Einwilligungsmanagement (Art. 7 DS-GVO)

Zwar gelten bis zum 25. Mai 2017 erteilte Einwilligungen grundsätzlich fort (Erwägungsgrund 171 DS-GVO). Allerdings sind bei der Einholung von Einwilligung ab dem 25. Mai 2017 die hohen Anforderungen der DS-GVO an die Einwilligung zu beachten. Hier empfiehlt es sich, zu prüfen und zu dokumentieren, an welchen Stellen personenbezogene Daten auf welcher Grundlage verarbeitet werden, um bestehende Prozesse den neuen Anforderungen anzupassen. Dabei ist zu beachten, dass eine Erklärung dann nicht verbindlich ist, wenn sie einen Verstoß gegen diese Verordnung darstellt. So besteht eine Nachweispflicht für das Vorliegen der Einwilligung.

Haftung (Art. 82 DS-GVO)

Künftig werden natürliche Personen nach der DS-GVO das Recht haben, Schadenersatzansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter geltend zu machen. Zudem können der Verantwortlicher und der Auftragsverarbeiter im Rahmen der Auftragsdatenverarbeitung gesamtschuldnerisch haften.

Neu ist auch, dass sie nicht nur materiellen, sondern auch immateriellen Schadenersatz (z.B. Schmerzensgeld) verlangen können.

Sanktionen (Art. 83 DS-GVO)

Bei Verstößen gegen die Regelungen der DS-GVO werden die Sanktionen künftig drastisch auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes erhöht. Mit der Festsetzung der Bußgelder soll eine abschreckende Wirkung erzielt werden (Erwägungsgrund 151 DS-GVO).

Vorbereitung auf die Datenschutz-Grundverordnung

Zur Vorbereitung auf das Inkrafttreten der DS-GVO empfiehlt es sich eine Bestandsaufnahme und Risikoanalyse der Verarbeitungen von personenbezogenen Daten vorzunehmen. Auf deren Grundlage sollte dann ein Abgleich des Ist-Zustandes mit dem künftigen Soll-Zustand (GAP-Analyse) erstellt werden, um so die betroffenen Prozesse identifizieren, überprüfen und anpassen zu können. Des Weiteren sollten die Mitarbeiter im Umgang mit den neuen Regelungen durch Schulungen sensibilisiert werden.

Eine gute Vorbereitung auf die DS-GVO schützt vor Abmahnungen und Bußgeldern von Verbraucherverbänden bzw. Aufsichtsbehörden.

Schalast unterstützt Sie gerne bei der Umsetzung der Vorgaben der DS-GVO.