Die DSGVO gilt. Es ist demnach höchste Zeit, das Thema Datenschutz anzugehen.

Wann tritt die DSGVO in Kraft?

Die EU-Datenschutz-Grundverordnung (DSGVO) ist bereits am 25. Mai 2016, zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt, in Kraft getreten. Nach der angeordneten Übergangsfrist kommt die DSGVO allerdings erst zwei Jahre nach Inkrafttreten zur Anwendung (Art. 99 DSGVO). Das bedeutet, dass die DSGVO ab dem 25. Mai 2018 gilt und einzuhalten ist.

Inwieweit verfolgt die DSGVO einen verstärkten risikobasierten Ansatz?

Die DSGVO hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker risikobasierten Ansatz. Die bisher in der DS-RL vorhandene allgemeine präventive Meldepflicht sowie die Vorabkontrolle für Datenverarbeitungen mit spezifischen Risiken für die Rechte und Freiheiten natürlicher Personen entfallen mit Geltung der DSGVO.

Stattdessen hat der Verantwortliche nach dem sog. Risikoansatz bei Datenverarbeitungen mit besonders hohen Risiken vorab eine Datenschutz-Folgenabschätzung nach Maßgabe des Art. 35 DSGVO vorzunehmen.

(Auch das Ausrichten der Maßnahmen zum Schutz der Datensicherheit am jeweiligen Risiko (Art. 32 DSGVO) implementiert insoweit einen verstärkt risikobasierten Ansatz in das Datenschutzrecht).

DSGVO: Umsetzung und Folgenabschätzung (Aufwand)

Der Aufwand für etwaige Umstellungen wird von Unternehmen zu Unternehmen variieren, je nachdem wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Unternehmensprozesse haben. Der Aufwand hängt auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse erfolgte.

Im Folgenden sind einige Faktoren genannt, die für die Abschätzung des Aufwands herangezogen werden können: Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis; Anzahl der noch zu dokumentierenden Verfahren; Erfordernis der Erstellung eines Verfahrensverzeichnisses; Anzahl der einzubeziehenden Abteilungen; Umfang der Überarbeitung einer bzw. mehrerer Datenschutzerklärung(en); Erfordernis von Verhandlungen mit dem Betriebsrat.

Anzeige: e-Learning Datenschutz - Datenschutz-Grundverordnung einfach umsetzen
Personenbezogene Daten sind ein kostbares Gut. Deshalb werden die Verwertung und Verbreitung der Daten von Mitarbeitern, Kunden, Lieferanten, Kollegen oder Bewerbern durch die Gesetzgebung besonders geschützt. Lernen Sie, wie Sie die Datenschutz-Grundverordnung einfach umsetzen.
Mehr dazu bei der Haufe Akademie

Wer ist innerhalb des Unternehmens verantwortlich auf die Neuerungen hinzuweisen?

Neben dem betrieblichen Datenschutzbeauftragten sollten auch andere Stellen im Unternehmen über die Änderungen im Zuge der Umsetzung der DSGVO informiert werden, so insb. die Geschäftsleitung, die Personalabteilung und der Betriebsrat sowie die Abteilungen Recht und Compliance; IT-Security; Finanzen und Forschung und Entwicklung.

DSGVO: Was ändert sich für nationales Recht?

Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt das Gesetzeswerk unmittelbar in allen Mitgliedsstaaten (vgl. Art. 288 Abs. 2 AEUV). Anders als bei einer Richtlinie, wie es bspw. noch die europäische Datenschutz-Richtlinie (DS-RL) war, muss die DSGVO also nicht durch Gesetze auf nationaler Ebene umgesetzt werden.

Die einschlägigen Regelungen des nationalen Rechts (insb. des BDSG-alt) werden also weitgehend durch die Regelungen der DSGVO) ersetzt. Die nationalen Gesetzgeber (Mitgliedstaaten, Bund, Länder) werden daher vornehmlich neue Gesetze erlassen, um die nationalen Vorschriften aufzuheben bzw. anzupassen, die durch die Verordnung ersetzt werden.

Die nationalen Gesetzgeber sind überdies an mehreren Stellen der Verordnung – durch sog. Öffnungsklauseln – dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Ein wichtiges Beispiel hierfür ist der Bereich des Beschäftigtendatenschutzes, für den sich in Art. 88 DSGVO eine Öffnungsklausel findet, von der der nationale Gesetzgeber in § 26 BDSG-neu Gebrauch gemacht hat.