Die neue EU-Datenschutzgrundverordnung: Darauf müssen Sie achten

Die EU-Datenschutzgrundverordnung bringt neue Auflagen im Umgang mit personenbezogenen Daten und schärfere Sanktionen.

Wenn am 25. Mai 2018 die Europäische Datenschutzgrundverordnung (EU-DSGVO) das nationale Recht in weiten Teilen ablöst, müssen sich Unternehmen auf deutlich höhere Anforderungen an ein systematisches Datenschutzkonzept und die Dokumentationspflicht einstellen. Es ist ratsam, die Weichen dafür schon jetzt zu stellen. „Denn mit Inkrafttreten der EU-DSGVO drohen schärfere Kontrollen der Aufsichtsbehörden und dabei empfindliche Bußgelder“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock.

Unternehmen müssen künftig unabhängig von ihrer Größe nachweisen, dass sie datenschutzkonform agieren, und sollten dazu ein – dem Qualitätsmanagement vergleichbares – Datenschutz-Managementsystem einführen. In einem ersten Schritt sind dazu Prozesse zu definieren, die zeigen, wie der Betrieb mit sensiblen Daten umgeht. Ein solches Verfahrensverzeichnis ist für jede Abteilung anzulegen, die mit personenbezogenen Daten in Kontakt kommt. „Die definierten Prozesse sind zudem mit Dokumenten wie Verträgen und Arbeitsanweisungen zu unterlegen“, erklärt Ecovis-Anwältin Susann Harder in Rostock. Auf dieser Basis sind die Risiken zu bewerten.

  • Was passiert, wenn ein Nichtbefugter von den Daten Kenntnis erlangt?
  • Wie wahrscheinlich ist es, dass ein solcher Vorfall eintritt, und wie schwerwiegend kann der Schaden sein?

Risikobestimmung und Eintrittswahrscheinlichkeit lassen sich jeweils in einer Skala von „vernachlässigbar“, „begrenzt“ und „wesentlich“ bis hin zu „maximal“ bestimmen. Ausgehend von dieser Analyse sind Maßnahmen zum Absenken der Eintrittswahrscheinlichkeit zu überlegen. Ein Datenschutzkonzept sollte alle Stufen umfassen und die individuellen betrieblichen Rahmenbedingungen berücksichtigen. Besonderheiten sind bei der Datenübermittlung ins Ausland – speziell in die USA – zu beachten. Grundsätzlich gilt: Bei Verstößen gegen die Vorgaben der DSGVO müssen Unternehmen mit Bußgeldern in zweistelliger Millionenhöhe (siehe Tabelle unten) und damit mit deutlich härteren Strafen als bisher rechnen. „Wir gehen davon aus, dass die Aufsichtsbehörden von dem Bußgeldrahmen auch Gebrauch machen werden“, warnt Rechtsanwalt Keller.

Auf einen Blick

Die neue EU-Datenschutzgrundverordnung und was sich für Unternehmen ab dem 25. Mai 2018 ändert:

  • Einführung einer risikobasierten Rechenschaftspflicht: Das Unternehmen hat dafür zu sorgen, dass alle Maßnahmen zur Umsetzung eines wirksamen Datenschutzkonzepts getroffen und nachgewiesen werden.
  • Ein Datenschutzbeauftragter ist zu benennen, wenn
    • mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
    • die umfangreiche Verarbeitung besonders geschützter Daten den Kernbereich der Tätigkeit bildet oder
    • eine Datenschutzfolgeabschätzung erforderlich ist.
  • Es gelten künftig zwei Bußgeldrahmen: Für kleinere Verstöße bis zu 2 Prozent des Gesamtumsatzes oder 10 Millionen Euro; für größere Verstöße bis zu 4 Prozent des Gesamtumsatzes oder 20 Millionen Euro.

Mehr zum Thema Datenschutz und Termine für Infoveranstaltungen finden Sie hier.

Susann Harder, Rechtsanwältin bei Ecovis in Rostock

Axel Keller, Rechtsanwalt bei Ecovis in Rostock

Weitere Informationen gibt es hier.

Seien Sie ecovisionär

Verwirklichen Sie Ihre Visionen. Genießen Sie die Freiheit, sich auf den Kern Ihres Schaffens zu fokussieren – mit einem Partner an der Seite, der Ihr wirtschaftliches Handeln absichert.