Von Folgeabschätzung bis Nachweispflicht
Die neue EU-Datenschutzgrundverordnung meistern
Fortsetzung des Artikels von Teil 1
An welchen Stellen die EU schraubt
1. Bußgelder
Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Halten sich Unternehmen oder ein Betrieb nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, etwa bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden. Der Bußgeldkatalog ist bindend. Die Aufsichtsbehörden haben keinen Ermessensspielraum.
2. Haftung betrieblicher Datenschutzbeauftragter
Eine Bestellpflicht besteht künftig, wenn die Bedingungen gegeben sind. Da eine nationale Öffnungsklausel existiert, wird Deutschland vermutlich Paragraph 4f des Bundesdatenschutzgesetzes übernehmen. Zu den bisherigen Aufgaben des Datenschutzbeauftragten – Sicherstellungs- und Hinwirkungsauftrag – wird jedoch ein Überwachungsauftrag hinzukommen. Da der Datenschutzbeauftragte die Umsetzung datenschutzrechtlicher Vorschriften nicht selbst vornehmen kann, konnte er bislang auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz nur hinwirken. Die EU-DSGVO verlangt zukünftig die Überwachung, dass alle Vorgaben und Regeln eingehalten werden. In der Konsequenz haften Unternehmer und Datenschutzbeauftragte nun auch persönlich.
3. Nachweispflicht und Unterrichtung
Die Unternehmen und Betriebe müssen, wie bisher auch, wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management wird notwendig. Des Weiteren müssen Unternehmen betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder.
4. Datenschutz-Folgeabschätzung
Neu ist auch die Pflicht zur Datenschutz-Folgeabschätzung. Wobei, so ganz neu ist das Thema nicht. § 4d BDSG regelt dies bereits mit der Vorabkontrolle. Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten, sollen so Grundrechtsverletzungen verhindert werden. Die sechs Schutzziele, wie Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, werden nicht nur aus der Unternehmensperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um die Organisation selbst, die Daten verarbeitet und als Risiko betrachtet wird. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
5. Funktionsübertragung ade
Lange diskutiert wurde die Abgrenzungsfrage, wann die Tätigkeit eines Dienstleisters aus seiner technischen Unterstützung in die eigenverantwortliche Verarbeitung im Sinne des § 3 Abs. 7 BDSG übergeht. Nach der neuen EU-Vorgabe hat der für die Verarbeitung Verantwortliche grundsätzlich die Zwecke der Verarbeitung vorzugeben, dem Auftragsverarbeiter bleibt jedoch die Entscheidung über die Mittel. Dadurch werden die bisherigen Funktionsübertragungen in Zukunft regelmäßig unter die Auftragsverarbeitung fallen.
6. Weltweite Geltung
Die Datenschutzgrundverordnung soll nicht nur innerhalb der Europäischen Union gelten, sondern weltweit. Auch Unternehmen im Ausland müssen den europäischen Datenschutz einhalten, wenn sie Daten von Personen aus der EU verarbeiten, diesen Personen Waren und Dienstleistungen anbieten.
- Die neue EU-Datenschutzgrundverordnung meistern
- An welchen Stellen die EU schraubt
- Neue Rechte für betroffene Personen
- Was sollten Unternehmen jetzt (schon) tun?
Lesen Sie mehr zum Thema
