Die DSGVO gilt. Es ist demnach höchste Zeit, das Thema Datenschutz anzugehen.

Wann tritt die DSGVO in Kraft?

Die EU-Datenschutz-Grundverordnung (DSGVO) ist bereits am 25. Mai 2016, zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt, in Kraft getreten. Nach der angeordneten Übergangsfrist kommt die DSGVO allerdings erst zwei Jahre nach Inkrafttreten zur Anwendung (Art. 99 DSGVO). Das bedeutet, dass die DSGVO ab dem 25. Mai 2018 gilt und einzuhalten ist.

Inwieweit verfolgt die DSGVO einen verstärkten risikobasierten Ansatz?

Die DSGVO hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker risikobasierten Ansatz. Die bisher in der DS-RL vorhandene allgemeine präventive Meldepflicht sowie die Vorabkontrolle für Datenverarbeitungen mit spezifischen Risiken für die Rechte und Freiheiten natürlicher Personen entfallen mit Geltung der DSGVO.

Stattdessen hat der Verantwortliche nach dem sog. Risikoansatz bei Datenverarbeitungen mit besonders hohen Risiken vorab eine Datenschutz-Folgenabschätzung nach Maßgabe des Art. 35 DSGVO vorzunehmen.

(Auch das Ausrichten der Maßnahmen zum Schutz der Datensicherheit am jeweiligen Risiko (Art. 32 DSGVO) implementiert insoweit einen verstärkt risikobasierten Ansatz in das Datenschutzrecht).

Die EU-DSVGO als Chance sehen

Dabei birgt die DSGVO große Chancen: Die Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen. Im Zeitalter rasanter Digitalisierung und daten-getriebener Wirtschaft ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar – Geschäfte und Prozesse im Einklang mit der EU-DSGVO belegen eine solche Handhabung.

DSGVO: Umsetzung und Folgenabschätzung (Aufwand)

Der Aufwand für etwaige Umstellungen wird von Unternehmen zu Unternehmen variieren, je nachdem wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Unternehmensprozesse haben. Der Aufwand hängt auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse erfolgte.

Im Folgenden sind einige Faktoren genannt, die für die Abschätzung des Aufwands herangezogen werden können: Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis; Anzahl der noch zu dokumentierenden Verfahren; Erfordernis der Erstellung eines Verfahrensverzeichnisses; Anzahl der einzubeziehenden Abteilungen; Umfang der Überarbeitung einer bzw. mehrerer Datenschutzerklärung(en); Erfordernis von Verhandlungen mit dem Betriebsrat.

Anzeige: e-Learning Datenschutz - Datenschutz-Grundverordnung einfach umsetzen
Personenbezogene Daten sind ein kostbares Gut. Deshalb werden die Verwertung und Verbreitung der Daten von Mitarbeitern, Kunden, Lieferanten, Kollegen oder Bewerbern durch die Gesetzgebung besonders geschützt. Lernen Sie, wie Sie die Datenschutz-Grundverordnung einfach umsetzen.
Mehr dazu bei der Haufe Akademie

Wer ist innerhalb des Unternehmens verantwortlich auf die Neuerungen hinzuweisen?

Neben dem betrieblichen Datenschutzbeauftragten sollten auch andere Stellen im Unternehmen über die Änderungen im Zuge der Umsetzung der DSGVO informiert werden, so insb. die Geschäftsleitung, die Personalabteilung und der Betriebsrat sowie die Abteilungen Recht und Compliance; IT-Security; Finanzen und Forschung und Entwicklung.

DSGVO: Was ändert sich für nationales Recht?

Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt das Gesetzeswerk unmittelbar in allen Mitgliedsstaaten (vgl. Art. 288 Abs. 2 AEUV). Anders als bei einer Richtlinie, wie es bspw. noch die europäische Datenschutz-Richtlinie (DS-RL) war, muss die DSGVO also nicht durch Gesetze auf nationaler Ebene umgesetzt werden.

Die einschlägigen Regelungen des nationalen Rechts (insb. des BDSG-alt) werden also weitgehend durch die Regelungen der DSGVO) ersetzt. Die nationalen Gesetzgeber (Mitgliedstaaten, Bund, Länder) werden daher vornehmlich neue Gesetze erlassen, um die nationalen Vorschriften aufzuheben bzw. anzupassen, die durch die Verordnung ersetzt werden.

Die nationalen Gesetzgeber sind überdies an mehreren Stellen der Verordnung – durch sog. Öffnungsklauseln – dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Ein wichtiges Beispiel hierfür ist der Bereich des Beschäftigtendatenschutzes, für den sich in Art. 88 DSGVO eine Öffnungsklausel findet, von der der nationale Gesetzgeber in § 26 BDSG-neu Gebrauch gemacht hat.

Grundsätze zur Gewährleistung der DSGVO

Die Grundsätze sind in Art. 5 der EU-DSGVO festgelegt. Diesen lauten:

  • Rechtmäßigkeit und Transparenz: Ohne eine Ermächtigungs- bzw. Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.
  • Zweckbindung: Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.
  • Datenminimierung: Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden.
  • Richtigkeit von Daten: Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung bzw. Löschung.
  • Speicherbegrenzung: Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss.
  • Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen angemessen gesichert werden vor Manipulation oder Fälschung. Vor dem Hintergrund, dass die Zahl der Cyberangriffe auf Datenbanken und Zugangsberechtigungen stetig steigt, hat dieses Prinzip in der EU-Verordnung einen neuen Stellenwert.
  • Rechenschaftspflicht: Die Einhaltung dieser Grundsätze muss nachgewiesen werden. 

Mehr zum Thema:

Was bei einer Abmahnung wegen DSGVO zu tun ist