Aktuelles

Änderungen im Datenschutz durch die Datenschutz-Grundverordnung ab 25.Mai 2018
- Neue Anforderungen und hohe drohende Geldbußen -


Der Umgang mit personenbezogenen Daten durch öffentliche wie nicht öffentliche Stellen war bisweilen vorrangig Aufgabe des nationalen Gesetzgebers. Dies hat sich mit Erlass der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – DS-GVO) durch den europäischen Gesetzgeber vom 27.04.2016 grundlegend geändert. Zum Zwecke der Harmonisierung des Datenschutzniveaus in den europäischen Mitgliedsstaaten wurde mit der Datenschutz-Grundverordnung eine einheitliche, für die Mitgliedsstaaten rechtsverbindliche und unmittelbar geltende Rechtsgrundlage geschaffen. Auf nationaler Ebene wird die Datenschutz-Grundverordnung, welche ab dem 25.05.2018 Anwendung findet, ergänzt durch das Datenschutz-Anpassungs- und Umsetzungsgesetz-EU vom 30.06.2017, mit welchem der deutsche Gesetzgeber von den in der Datenschutz-Grundverordnung eingeräumten „Öffnungsklauseln“ und Ausgestaltungskompetenzen Gebrauch gemacht hat. Durch das Zusammenspiel der beiden Normgebilde erfährt der Umfang mit personenbezogenen Daten, insbesondere auch im Bereich privater Unternehmen zahlreiche neue Änderungen, auf den die internen Geschäftsprozesse anzupassen sind.

Unverändert, wenn auch nunmehr ausdrücklich in Art. 5 DS-GVO normiert, gelten die datenschutzrechtlichen Grundsätze der Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Datenverarbeitung sowie der Speicherbegrenzung und Integritätswahrung. Deutlich erweitert wurden dem gegenüber die Informationspflichten gegenüber der von der Datenverarbeitung betroffenen Person, das Erfordernis einer risikobasierten Datenschutzfolgenabschätzung gem. Art. 35 DS-GVO, die Anforderungen an die Rechtmäßigkeit der Datenverarbeitung nach Art. 6 DS-GVO sowie die Sanktionsfolgen bei einem Verstoß gegen die Datenschutzbestimmungen. Während Unternehmen bei einer Rechtsverlegung nach der alten Rechtslage gem. § 43 BDSG mit Bußgeldern von max. € 300.000,00 zu rechnen hatten, sieht Art. 83 DS-GVO nunmehr die Verhängung von Geldbußen von bis zu € 20 Mio vor,  im Falle eines Unternehmens sogar bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Damit drohen der verantwortlichen Stelle bei Verstößen gegen die Datenschutzbestimmungen erhebliche finanzielle Einbußen. Um Sanktionsfolgen zu vermeiden, sind Unternehmen sowie alle Stellen, die personenbezogene Daten mit Bezug zu ihrer beruflichen oder wirtschaftlichen Tätigkeit verarbeiten stärker wie bislang verpflichtet, die Einhaltung der Datenschutzgrundsätze zu dokumentieren, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO Folge zu leisten.

Im Einzelnen wird es künftig darum gehen, vor allem hinsichtlich nachfolgend dargestellter Bereiche entsprechende organisatorische Maßnahmen zu treffen und die gesetzlichen Neubestimmungen in die internen Datenverarbeitungsprozesse zu adaptieren:


  • Implementierung und Dokumentation geeigneter technischer und organisatorischer Maßnahmen   zur Gewährleistung von Datenschutz und Datensicherheit, Art. 24, 32 DS-GVO
  • aktive, von einem konkreten Auskunftsbegehren der betroffenen Person unabhängige Informationserteilung nach Art. 13 ff. DS-GVO
  •   Überprüfung der Vereinbarungen zur Auftragsverarbeitung
  • Anpassung der Einwilligungserklärungen an die verschärften Vorgaben der Datenschutzgrundverordnung
  • Überprüfung der Erforderlichkeit eines Datenschutzbeauftragten
  • umfangreiche Dokumentation aller Datenverarbeitungstätigkeiten durch die Führung eines Verzeichnisses über Verarbeitungstätigkeiten, Art. 30 DSG-VO
  • Regelung des Beschäftigtendatenschutzes
  • Festlegung interner Richtlinien zum Umgang mit Verstößen gegen Datenschutzbestimmungen sowie Anfragen der Aufsichtsbehörde.

Nahezu jedes Unternehmen wird sich mit Blick auf die geltende Rechtslage ab dem 25.05.2018 und den drohenden Konsequenzen bei Nichteinhaltung der Datenschutzbestimmungen mit den notwendigen Sicherungsvorkehrungen befassen müssen, um im Falle eines drohenden Bußgeldes oder Prozesses Nachweis über die Einhaltung der datenschutzrechtlichen Anforderungen erbringen zu können.

______________________________________________________________________________