Die EU-Datenschutz-Grundverordnung (DSGVO) ist zwanzig Tage nach ihrer Veröffentlichung im EU-Amtsblatt am 25. Mai 2016 in Kraft getreten. Bis zur Umsetzung galt eine angeordnete Übergangsfrist nach Art. 99 DSGVO bis zum 25. Mai 2018. Ab diesem Tag gilt die DSGVO in allen Ländern der Europäischen Union und ist einzuhalten. Zweck der Verordnung war einerseits den Schutz personenbezogener Daten innerhalb der europäischen Union sicherzustellen, und andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes zu gewährleisten. Die DSGVO gilt seit Mai 2018 unmittelbar in allen EU-Mitgliedstaaten.
Eine Umsetzung in nationales Recht war nicht erforderlich. Die Verordnung enthält jedoch verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedsstaaten erlaubte, einige der Datenschutz-Anforderungen auf nationaler Ebene zu regeln. Die Bundesregierung hat davon mit der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) Gebrauch gemacht.
Was müssen Unternehmen tun, um die DSGVO umzusetzen?
Erstmal Ruhe bewahren. Viele Vorschriften der DSGVO waren im alten BDSG bereits enthalten. Zu den primären Maßnahmen zählen aber insbesondere folgende:
- Eventuell Einen Datenschutzbeauftragten benennen (§ 38 BDSG-neu): Gemäß Artikel 37 der Datenschutzgrundverordnung ist die Benennung eines Datenschutzbeauftragten zwingend erforderlich, wenn in einem Daten verarbeitenden Unternehmen in der Regel mindestens zehn Personen personenbezogene Daten regelmäßig (ständig) automatisiert verarbeiten. Ein Datenschutzbeauftragter ist auch dann immer zu benennen, wenn personenbezogene Daten verarbeitet werden, die von einer Datenschutz-Folgenabschätzung betroffen sind, oder wenn die Verarbeitung geschäftsmäßig zum Zweck der Datenübermittlung (auch anonymisiert) oder die Datenverarbeitung der Markt- oder Meinungsforschung dient.
- Eine Übersicht der Verarbeitungstätigkeiten erstellen (§ 70 BDSG-neu): Gemäß Art. 30 Abs. 1 DSGVO hat der Verantwortliche für die Datenverarbeitung oder ggf. sein Vertreter in einem Verzeichnis aufzuführen, welche personenbezogenen Daten verarbeitet werden. Des Weiteren welche Verfahren für die Verarbeitung verwendet werden und welche Maßnahmen für den Schutz der Daten getroffen wurden. Das Verzeichnis muss Angaben zur verantwortlichen Stelle, Angaben zum Verfahren, z. B. Zweckbestimmung, betroffene Personengruppen, Löschfristen, Datenübermittlung ja oder nein sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz enthalten. Es dient als Nachweis, dass die DSGVO eingehalten wird, und kann nach Aufforderung durch die Aufsichtsbehörden eingesehen werden.
- Ein geeignetes Datenschutzmanagementsystem (DSM) implementieren: Als erste Orientierung kann das BDSG herangezogen werden. Die relevanten Vorschriften für ein Datenschutzmanagementsystem finden sich in den Art. 5, 30, 32 und 35 DSGVO. Ein effektives DSM besteht grundsätzlich aus folgenden 6 Schritten:
- DSGVO-konforme Zielsetzung planen und dokumentieren
- Bestandsaufnahme des Istzustandes
- Umsetzung (z. B. Datenschutzregeln aufstellen, Mitarbeiter schulen, usw.)
- Überprüfen der Umsetzung, bzw. Kontrolle auf Einhaltung
- Beseitigung erkannter Schwachstellen
- Regelmäßige Überprüfung des gesamten DSM
- Gegebenfalls eine Datenschutz-Folgenabschätzung durchführen (§ 67 BDSG-neu): Gemäß Art. 35, 36 DSGVO ist eine Datenschutz-Folgenabschätzung dann zwingend durchzuführen, wenn bei der Verarbeitung von personenbezogenen Daten davon ausgegangen werden kann, dass ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht. Der für die Datenverarbeitung Verantwortliche in diesem Fall vorab eine Risikoanalyse der zu erwartenden Folgen erstellen. Falls Risiken identifiziert werden, sind geeignete Gegenmaßnahmen und Sicherheitsvorkehrungen zur Eindämmung oder Verhinderung zu ergreifen.
Welche Sanktionen drohen bei Verstoß gegen die DSGVO?
Verstöße gegen die Datenschutzgrundverordnung können gemäß Artikel 83 DSGVO mit maximalen Strafen von 10 bis 20 Millionen Euro oder zwei bis vier Prozent des weltweiten Unternehmensumsatz geahndet werden, je nachdem was von beiden Möglichkeiten höher ist. Die Aufsichtsbehörden sind gehalten, die jeweils höhere Sanktion anzuwenden. Verstößt ein Daten verarbeitendes Unternehmen z. B. gegen seine Zertifizierungs- oder Überwachungspflichten oder führt keine internen Datenschutzschulungen durch, ist bereits ein Bußgeld bis zu 10 Millionen möglich. Die Aufsichtsbehörden können aber alternativ auch ein Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes verhängen.
Verstößt ein Unternehmen gegen seine gesetzlichen Informationspflichten (z. B. Veröffentlichung einer Datenschutzerklärung) oder missachtet Anweisungen der Datenschutzbehörde, verdoppeln sich die Geldbußen auf bis zu 20 Millionen.
Grundsätzlich richtet sich die Höhe der Geldbuße nach der Art und Schwere der Datenschutzverstöße. Absichtliche Verletzungen werden höher geahndet als fahrlässige. Mehrere Verstöße höher als einzelne. Straferhöhend wirkt auch mangelnde Kooperation mit den Datenschutzbehörden, oder das Versäumnis geeignete Maßnahmen zur Behebung der Datenschutzverletzung zu ergreifen. Die Datenschutzbehörden bewerten jeden Datenschutzverstoß gesondert. Die Bußgelder müssen in jedem Einzelfall wirksam und abschreckend, jedoch immer verhältnismäßig sein.
Bildquelle Titelbild:
- stockwerk-fotodesign/shutterstock.com