DSGVO: Frist zur Umsetzung der Datenschutz-Grundverordnung läuft ab

Datenschutz: Countdown zur DSGVO läuft

Noch einen Monat, dann gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). In vielen kleinen und mittleren Unternehmen ist das neue Datenschutzrecht aber immer noch nicht richtig angekommen. Hier ein Überblick über wesentliche Neuerungen – und Handlungsempfehlungen für KMU in Sachen DSGVO.

Zahlreiche kleine und mittlere Unternehmen werden es nicht schaffen, bis zum Stichtag die Vorgaben der DSGVO zu erfüllen. Woran liegt es? Schließlich endet am 25. Mai 2018 eine zweijährige Übergangsphase – genug Zeit also, sich des Themas anzunehmen. Offenbar haben viele Unternehmensverantwortliche die Neuerungen im Datenschutzrecht lange erfolgreich ignoriert bzw. die Tragweite der Änderungen unterschätzt. Auch nahmen wohl viele an, dass die DSGVO ihr Unternehmen nicht beträfe, weil man ja gar keine personenbezogenen Daten verarbeite. Doch diese Annahme ist in den meisten Fällen falsch.

Die DSGVO zielt auf den Schutz sämtlicher Daten, die irgendeine Information zu einer natürlichen Person in der EU enthalten. Wer Beschäftige hat, verarbeitet also zwangsläufig auch personenbezogene Daten – und sei es bloß eine E-Mail von der Krankenkasse eines Arbeitnehmers. Darüber hinaus fällt die elektronische Verarbeitung und Speicherung von Kundendaten sowie von Angaben zu Mitarbeitern von Lieferanten und Dienstleistern unter die DSGVO (z. B. Namen, personalisierte E-Mail-Adressen, Telefondurchwahlen).

Die DSGVO erhöht die Anforderungen und die Strafen

Die DSGVO orientiert sich zwar in vielen Punkten am bisherigen (alten) Bundesdatenschutzgesetz (BDSG), doch in zahlreichen Punkten erlegt sie Unternehmen deutlich umfangreichere Pflichten auf:

Wichtige Neuerungen durch die DSGVO

  • Verzeichnis der Verarbeitungstätigkeiten
    Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Darin sind alle Prozesse, bei denen personenbezogene Daten erfasst, verarbeitet oder gespeichert werden, aufzulisten und zu beschreiben (s. Artikel 30 der DSGVO). Das bisherige Verfahrensverzeichnis nach § 4e des alten BDSG entfällt.
  • Umfangreichere Informationspflichten
    Betroffene Personen müssen bei der Erhebung von personenbezogenen Daten künftig umfangreicher als bisher und zudem in leicht verständlicher Form informiert werden, etwa zur Art und voraussichtlichen Dauer der Verwendung oder dem Zweck und der Rechtsgrundlage der Verarbeitung.
  • Meldepflichten bei Datenschutzverstößen
    Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden innerhalb von 72 Stunden alle Datenschutzverstöße melden, durch die ein Risiko für die betroffenen Bürger entstanden ist. Zudem müssen die betroffenen Personen möglichst rasch über alle Verstöße informiert werden, die mit einem hohen Risiko behaftet sind.
  • Recht auf Vergessenwerden
    Jede natürliche Person kann verlangen, dass Unternehmen die digital über sie erfassten Daten vollständig löschen. Wenn ein Unternehmen personenbezogene Daten an eine dritte Stelle weitergegeben hat, muss es veranlassen, dass diese Daten beim Dritten gelöscht werden.
  • Recht auf Datenübertragbarkeit
    Unternehmen müssen einer natürlichen Person auf Verlangen ihre personenbezogenen Daten in einem
    strukturierten, gängigen, maschinenlesbaren und interoperablen Format zur Verfügung stellen, beispielsweise für einen Anbieterwechsel.
  • Datenschutzgarantien durch Technik und Voreinstellungen
    Zu den neuen Vorgaben der DSGVO zählen des Weiteren die Prinzipien Privacy by Design und Privacy by Default. “Privacy by Design” verlangt, dass der Schutz personenbezogener Daten schon bei der Entwicklung von Erzeugnissen oder Dienstleistungen (z. B. Software) umzusetzen ist. “Privacy by Default” bedeutet, dass beispielsweise in sozialen Netzwerken standardmäßig das Maximum an Datenschutz voreingestellt ist.

Auch bei den Strafen, die bei Verstößen verhängt werden können, zieht die DSGVO die Zügel drastisch an:  Ab dem 25. Mai 2018 können die Aufsichtsbehörden pro Datenschutzverstoß bis zu 20 Millionen Euro oder – wenn höher – 4 Prozent des weltweit erzielten Jahresumsatzes als Geldbuße verhängen. Bislang liegt der Maximalrahmen in Deutschland bei lediglich 300.000 Euro.

Tipp für DSGVO-Nachzügler: Umsetzungsschritte priorisieren

Unternehmen, die die Umsetzung der DSGVO-Vorgaben noch nicht weitgehend abgeschlossen haben, sollten unverzüglich ihre nächsten Schritte planen und priorisieren.
Erste Orientierung kann zum Beispiel ein Fragebogen geben, den das Bayerische Landesamt für Datenschutzaufsicht zum Download bereitstellt.

Ganz oben auf der Prioritätenliste sollte die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten stehen. Ein solches Verzeichnis ist für die Umsetzung eines funktionierenden DSGVO-konformen Datenschutzkonzepts unverzichtbar. Es zu erstellen erfordert jedoch einigen Aufwand. Daher sollten Unternehmen hier keine Zeit verlieren und mit der Erstellung zumindest beginnen.

Überhaupt ist es wichtig, dass man sämtliche Schritte, die in Richtung DSGVO bereits gemacht wurden bzw. geplant sind, dokumentiert. Eine gute Dokumentation kann möglicherweise strafmildernd wirken, wenn ein Betrieb die rechtlichen Anforderungen auch nach dem 25. Mai 2018 nur teilweise erfüllt, kann eine gute Dokumentation möglicherweise strafmildernd wirken. Darauf verlassen können sich Unternehmen allerdings nicht.

DSGVO-Nachzügler sollten sich daher – ggf. mit externer Unterstützung – jetzt vor allem den datenschutzrechtlichen Bereichen widmen, die von den Aufsichtsbehörden wahrscheinlich als erstes geprüft werden. Hierzu dürften nach Einschätzung von Rechtsexperten wie dem Hamburger Rechtsanwalt André Schmidt neben dem erwähnten Verzeichnis der Verarbeitungstätigkeiten unter anderem Einwilligungserklärungen, Informationspflichten, Datenschutzbelehrungen und Direktmarketing-Maßnahmen zählen.

Bildquelle: ihorzigor/iStockphoto.com