Expertentipps
EU-DSGVO - höchste Zeit zu handeln
Fortsetzung des Artikels von Teil 1
Verschärfte Bußgelder drohen
Verschärfte Bußgelder: Im Gegensatz zur bisherigen Rechtslage ist für die große Mehrheit der Vorschriften in der DSGVO, die Pflichten für datenverarbeitende Stellen begründen, die Möglichkeit einer Geldbuße vorgesehen. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens gegenüber dem bisherigen Maximalbetrag von 300.000 Euro: Bei Verstößen sind nun Geldbußen bis 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes möglich. Wenn das sanktionierte Unternehmen zu einer Unternehmensgruppe bzw. einem Konzern gehört, ist bei der Bußgeldbemessung der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns maßgeblich. Dies kann erhebliche finanzielle Auswirkungen haben.
Unsere Empfehlung: Die DSGVO enthält einen Katalog von Kriterien, die einen Einfluss auf die Bußgeldverhängung und -bemessung haben. Hierzu gehören u. a. frühere Verstöße, getroffene technisch-organisatorische Maßnahmen, Zusammenarbeit mit den Aufsichtsbehörden und eine Datenschutz-Zertifizierung. Diese Kriterien sollten Unternehmen berücksichtigen, um Bußgeldrisiken so weit wie möglich zu minimieren.
Die Datenschutz-Folgenabschätzung: Das bisherige Instrument der „Vorabkontrolle“ weicht dem Konzept der Datenschutz-Folgenabschätzung (DSFA). Hier gilt: Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen. Die DSFA umfasst u.a. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, eine Bewertung der damit verbundenen Risiken sowie die Planung von Abhilfemaßnahmen zur Eindämmung der Risiken auf ein angemessenes Niveau. Wann genau eine DSFA durchgeführt werden muss, ist noch nicht abschließend geklärt. Auch der Einsatz risikoträchtiger Technik könnte eine entsprechende Pflicht nach sich ziehen.
Unsere Empfehlung: Entgegen der Auffassung einiger Praktiker ist die DSFA nicht nur für neue Verarbeitungsvorgänge relevant. Datenverarbeitenden Stellen wird daher geraten, eine Folgenabschätzung auch für bestehende Verarbeitungen durchzuführen, sofern ein „hohes Risiko“ besteht. Die durchgeführten Risikobewertungen müssen nachvollziehbar dokumentiert werden.
Privacy by Design und Privacy by Default: Ob Produkte, Dienste oder Anwendungen: Datenschutz muss integraler Bestandteil der Entwicklung sein. Das heißt, die Datenschutzgrundsätze wie insbesondere die Datenminimierung müssen schon in der Systementwicklung angemessen berücksichtigt bzw. umgesetzt werden. Und: „Maximaler“ Datenschutz muss die „serienmäßige“ Grundeinstellung sein und nicht mehr die Option, die der Betroffene aktiv anwählen muss. Wichtig ist, dass insbesondere die „Privacy by Design“-Anforderungen die verantwortlichen Stelle treffen und nicht die Hersteller von Produkten, Diensten und Anwendungen. Hier müssen die datenverarbeitenden Unternehmen frühzeitig Druck auf diese Hersteller ausüben, um ab dem 25.5.2018 DSGVO-konforme Technik im Einsatz zu haben.
Unsere Empfehlung: Auch wenn eine konsequente Umsetzung der „Privacy by Design“- und „Privacy by Default“-Pflichten zweifelsohne Kosten verursachen wird, so können andererseits im Nachhinein anfallende Kontroll- und Systemanpassungskosten reduziert werden. Die frühzeitige Berücksichtigung der Anforderungen vermeidet in jedem Fall spätere Abweichungen von den gesetzlichen Vorgaben und verringert somit Haftungs- und Bußgeldrisiken.
- EU-DSGVO - höchste Zeit zu handeln
- Verschärfte Bußgelder drohen
- Das Recht auf Vergessenwerden
- Der Datenschutzbeauftragte
Lesen Sie mehr zum Thema
