Aus der Praxis wissen wir, dass dem Datenschutz in der Vergangenheit häufig ungerechtfertigt wenig Aufmerksamkeit geschenkt wurde. Das hat sich seit dem 27. April 2016 bei vielen Verarbeitern von personenbezogenen Daten geändert. An diesem Tag wurde die Richtlinie 95/46/EG verabschiedet, besser bekannt als Datenschutz-Grundverordnung (DSGVO).

Im Gegensatz zum Bundesdatenschutzgesetz (BDSG) haben sich die Schutzvorschriften zwar nicht gravierend geändert, aber jetzt haben es die Bußgeldvorschriften in sich. Bis zu 20 Millionen Euro oder bei Konzernen bis zu 4 % des weltweiten Jahresumsatzes haben viele Unternehmen aufgeschreckt. Auch der letzte Satz des Erwägungsgrundes 151 klingt beunruhigend: „In jeden Fall sollten die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein.“

Bei derartig hohen Bußgeldern haben viele Unternehmen plötzlich ein gesteigertes Interesse am Thema Datenschutz an den Tag gelegt.

Eigentlich ist die Idee hinter der Datenschutz-Grundverordnung lobenswert, der europäische Datenschutz sollte vereinheitlicht werden. Mit dem rechtlichen Werkzeug einer Verordnung sollte sichergestellt werden, dass gleiches Recht direkt und zeitgleich in allen Mitgliedsstaaten gilt. Soweit nicht schlecht, leider enthält die DSGVO viele Öffnungsklauseln, die es den einzelnen Staaten erlaubt, das allgemeine Regelwerk individuell anzupassen. So wird beispielsweise in Deutschland ab 10 Mitarbeitern ein Datenschutzbeauftragter gefordert, eine ähnliche Regelung fehlt in vielen anderen europäischen Staaten.

Egal, ob Sie die neuen Datenschutzregeln befürworten oder ablehnen, bis zum 25. Mai 2018 müssen alle Vorgaben der DSGVO umgesetzt sein, sonst laufen Sie Gefahr, dass empfindliche Bußgelder gegen Ihre Firma verhängt werden.

Eigentlich sollte diese Übergangsfrist für die meisten Unternehmen ausreichend bemessen sein. Aber haben Sie auch wirklich an alles gedacht? Nachfolgend sind die gravierendsten oder beachtenswertesten Änderungen der Datenschutz-Grundverordnung gegenüber dem BDSG (alt) aufgelistet.

Accountability/Rechenschaftspflicht

Die Rechenschaftspflicht erfordert eine gute Dokumentation der Prozesse für die Verarbeitung personenbezogener Daten. In den meisten Fällen lassen sich diese Vorgaben nur mit einem Datenschutz-Handbuch oder einem komplexen Datenschutzmanagement-System erfüllen.

Auftragsdatenverarbeitung

Augenscheinlichste Änderung ist der Wegfall von „daten“; die Auftragsdatenverarbeitung nennt sich jetzt Auftragsverarbeitung. Mit Dienstleistern und verantwortlichen Auftraggebern sind grundsätzlich neue Auftragsdatenverarbeitungsverträge notwendig. Der Auftragsverarbeiter ist jetzt auch immer mitverantwortlich für die Einhaltung der Vorgaben der DSGVO.

Betroffenenrechte

Die Informationspflichten gegenüber Betroffenen werden umfangreicher. Außerdem haben Betroffene künftig das Recht, ihre Daten mitzunehmen. Diese Datenportabilität wird aufgrund fehlender Rahmenbedingungen sicherlich noch sehr interessant werden.

Datenpannen

Datenpannen müssen an die Aufsichtsbehörde gemeldet werden. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Datenpanne erfolgen. Um diese kurze Frist einhalten zu können, sollte schon vorher ein geeigneter Meldungsprozess etabliert sein. Unter Umständen müssen auch die Betroffenen informiert werden.

Datenschutz-Folgenabschätzung (DSFA)

Das alte Werkzeug der Vorabkontrolle wird in der DSGVO durch die Datenschutz-Folgenabschätzung (DSFA) ersetzt. Risikoreiche Prozesse müssen vor Implementierung überprüft werden. Hier ist zukünftig nicht mehr der Datenschutzbeauftragte, sondern das verarbeitende Unternehmen verantwortlich.

Datenschutzerklärung

Die neuen Informationspflichten bedingen auch eine Notwendigkeit, die Datenschutzerklärung an die DSGVO anzupassen. Neben den erforderlichen Änderungen sollten die Datenschutzerklärungen auch präzise und in klarer und einfacher Sprache verfasst sein.

Datenübermittlung an Drittstaaten

Neben dem Vorliegen eines oder mehrerer Zulässigkeitstatbestände des Art. 6 DSGVO, muss ermittelt werden, ob in dem Drittstaat oder bei dem geplanten Empfänger ein angemessenes Datenschutzniveau vorliegt. Ein ausreichendes Datenschutzniveau kann beispielsweise durch EU-Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“) sichergestellt werden. Die Binding Corporate Rules müssen aber ein relativ kompliziertes und langwieriges Genehmigungsverfahren durchlaufen.

Technische Umsetzung

Seit Veröffentlichung der Datenschutz-Grundverordnung geistern die beiden Buzzwords „Privacy by design“ und „Privacy by default“ durch die Datenschutzszene. Letztendlich bedeuten sie nur, dass Prozesse und Software datenschutzfreundlich gestaltet werden müssen und die Voreinstellungen ebenfalls datenschutzfreundlich sind.

Verzeichnis von Verarbeitungstätigkeiten

Eine Renaissance erfährt das Verzeichnis von Verarbeitungstätigkeiten, das jetzt sowohl der Verantwortliche als auch der Auftragsverarbeiter führen muss.