Jeder EU-Bürger hat ein Recht auf Schutz seiner personenbezogenen Daten. Bild: Corbis

Am 25.5.2018 endet die Übergangsfrist für die Datenschutz-Grundverordnung. Sie gilt ab dann europaweit für Unternehmen und Behörden gleichermaßen. Die DSGVO enthält eine ganze Reihe teils noch ungewohnter Verbote und Pflichten rund um den Datenschutz, bei deren Verletzung Geldbußen bis zu 20 Millionen Euro drohen.

Unternehmen und Behörden – mit Ausnahme der Strafverfolgungsbehörden – müssen ab dem 25 Mai mit einschneidenden Sanktionen rechnen, wenn sie zu diesem Zeitpunkt die rechtlichen Anforderungen nicht erfüllen.

Recht jedes Bürgers auf Schutz personenbezogener Daten

Die EU hat mit der DSGVO eine Grundlage geschaffen, personenbezogene Daten einem grundsätzlichen Schutz zu unterziehen und damit das Allgemeine Persönlichkeitsrecht ihrer Bürger zu stärken.

Art.1 Abs.2 DSGVO garantiert den EU-Bürgern ein Recht auf den Schutz ihrer personenbezogenen Daten. Gemäß Art. 5 DSGVO sind bei der Verarbeitung personenbezogener Daten ethische Grundsätze zu beachten wie

  • Rechtmäßigkeit,
  • Treu und Glauben,
  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit der erhobene Daten,
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht.

Sachlicher Anwendungsbereichder DSGVO

Gemäß Art. 2 DSGVO gilt die Verordnung für jegliche ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dabei sind gemäß Art. 4 DSGVO personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Hinweis: Hiernach sind bereits handschriftliche Aufzeichnungen zur Vorbereitung der Datenerfassung, sei es für die spätere elektronische Speicherung oder nur für die Ablage in einem Aktenordner, von der Verordnung erfasst.

Daten-Profiling - die Analyse und Bewertung der Daten

Click to tweet

Art. 4 Nr. 4 DSGVO unterstellt das so genannte Profiling einem besonderen Schutz. Unter Profiling wird verstanden die Bewertung personenbezogener Daten für besondere Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, allgemein zu erwartendes Verhalten oder sonstige Zukunftsprognosen.

Sobald Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über Tragweite und die angestrebten Auswirkungen des Verfahrens informiert werden. Das schließt auch Angaben zu der dazu verwendeten Logik oder dem Algorithmus mit ein.

Jeder Betroffene hat ein genau definiertes Auskunftsrecht

Gemäß Art. 15 DSGVO hat jeder das Recht, von dem Verantwortlichen für Datenschutz des jeweiligen Unternehmens eine Bestätigung über die Verarbeitung seiner personenbezogenen Daten zu verlangen. Das Recht auf Auskunft umfasst die Information über

  • den Verarbeitungszweck,
  • die Kategorie der erhobenen Daten,
  • die Empfänger, denen personenbezogene Daten offen gelegt worden sind oder noch werden,
  • die geplante Dauer der Speicherung,
  • eine Belehrung über das Bestehen des Rechts auf Berichtigung oder Löschung sowie
  • über das Bestehen eines Beschwerderechts gegenüber der Aufsichtsbehörde.

Das Datenschutz-Recht auf Löschung

Art. 17 der Verordnung gewährt ein Recht auf Löschung u.a. bei

  • Zweckerreichung der Speicherung,
  • Widerruf einer erforderlichen Einwilligung,
  • Einlegung eines Widerspruchs gemäß Art. 21 DSGVO, ohne dass vorrangige berechtigte Gründe für die Verarbeitung bestehen,
  • unrechtmäßiger Verarbeitung der Daten.

Art. 18 DSGVO gewährt unter ähnlichen Voraussetzungen ein Recht auf Beschränkung der Verarbeitung.

Neue Datenschutz-Verpflichtungen der Unternehmen ab 25. Mai

Außerdem postuliert die neue Verordnung eine ganze Reihe von Unternehmenspflichten wie

Wie einige Umfragen bei Unternehmen ergeben haben, sehen die Verantwortlichen in größeren Unternehmen noch erhebliche Probleme in einer der Verordnung gerecht werdenden Datenverwaltung. In komplexen Datenverwaltungen wissen große Unternehmen oft gar nicht, wo sich überall Kundendaten befinden. Probleme bei der Fragmentierung von Daten, bei der Verschlüsselung sind oft noch ungelöst. Die für den Datenschutz Verantwortlichen in nicht wenigen Großunternehmen haben mittlerweile sehen daher noch erhebliche Probleme bei der Umsetzung der DSGVO.

Unternehmen müssen einen Verantwortlichen benennen

Für Unternehmen ist wichtig, dass grundsätzlich zunächst die Leitung des Unternehmens verantwortlich für die Umsetzung der Verordnung ist. In der Regel ist ein Datenschutzbeauftragter zu benennen, Art. 37 DSGVO. Dies kann in größeren Unternehmen beispielsweise der Chief-Information-Security-Officer, der Chief-Executive-Officer oder eine sonstige mit der Überwachung von Compliance beauftragte Person sein.

Mitgliedstaaten müssen die Anwendung der DSGVO überwachen

Sobald die Verordnung in Kraft tritt, wird es für die Unternehmen ungemütlich.

Gemäß Art. 51 DSGVO muss jeder Mitgliedstaat eine Aufsichtsbehörde benennen, die für die Überwachung und Anwendung der Verordnung zuständig ist.

Anspruch auf Schadensersatz der Betroffenen bei Verstoß

Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den für den Verstoß Verantwortlichen bzw. gegen den Auftragsverarbeiter. Das gibt der Umsetzung der Neuregelung wünschenswerte Antriebskraft, könnte aber auch Begehrlichkeiten wecken und dem Abmahnmissbrauch vergleichbaren Geschäftsmodellen generieren. Unternehmen sind gut beraten, das auf dem Schirm zu haben.

Bei Verstößen drohen happige Sanktionen

Die möglichen Bußgelder sind in Art. 83 DSGVO geregelt. Für die Bemessung der Höhe sind folgende Faktoren maßgeblich:

  • Schwere und Art des Verstoßes,
  • die Art der von dem Verstoß betroffenen Daten (Verstöße bei bestimmten Daten wie über rassische oder ethnische Herkunft, religiöse oder philosophische Anschauungen, Gesundheit sexuelle Orientierung, genetische Daten wiegen besonders schwer),
  • vorsätzliche oder fahrlässige Begehungsweise,
  • ergriffene Maßnahmen zur Schadensminderung,
  • Kooperation mit der Aufsichtsbehörde.

Höhe der Geldbußen die ab Mai bei DSGVO-Verstößen drohen

Bei Verstößen können gemäß Art. 83 Abs. 4 DSGVO

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.

Diese enorm hohen Geldbußen, die geeignet sind, eine Unternehmensbilanz negativ zu beeinflussen, sollen eine hohe Abschreckungswirkung erzielen und dabei helfen, der Verordnung eine nachhaltige Geltung zu verschaffen. Die den Unternehmen verbleibende Zeit zur Vorbereitung wird knapper. Am 25.5.2018 wird es ernst.

Weitere News zum Thema:

Informationen zur Datenschutz-Grundverordnung

Umsetzung der EU-Datenschutzreform durch die Unternehmen

Kritik am geplanten Datenschutzrecht reißt nicht ab

Hintergrund:

Umfrage zeigt Lethargie

Nach einer repräsentativen Umfrage des Branchenverbands Bitkom, für die knapp über 500 Datenschutzverantwortliche aus Unternehmen mit mehr als 20 Mitarbeitern im Oktober 2016 befragt wurden. hatte fast die Hälfte sich noch nicht mit der Reform beschäftigt.

Einstieg über ein Online-Seminar

Ab Mai 2018 gilt die DS-GVO unmittelbar und ohne weitere Übergangsfrist in allen Mitgliedstaaten. Zugleich wird auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft treten.

In dem Online-Seminar:

Datenschutz-Grundverordnung und neues Bundesdatenschutzgesetz: Neue Anforderungen für Unternehmen

stellt 

  • der Referent Prof. Dr. Boris Paal
  • am Mi, 20.09.2017, 13:00 Uhr

die wichtigsten Änderungen im Datenschutz vor und gibt Handlungsempfehlungen zur Vorbereitung auf die neue Rechtslage.

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung, Sanktion, Geldbuße, Datenschutz-Management

Aktuell
Meistgelesen