Neues Datenschutzrecht mit der DSGVO: Ab Ende Mai 2018 wird Datenschutz zu EU-weitem Grundrecht

Nachdem das Thema „Datenschutz“ in Unternehmen bisweilen noch eher ein Schattendasein fristete (Stichwort: Beantragung einer DVR-Nummer), wird es mit der neuen Datenschutz-Grundverordnung (DSGVO 2016) in Kürze in die pralle Sonne gestellt. Das Gesetz wurde bereits am 27. April 2016 von der EU erlassen und tritt ab dem 25. Mai 2018 in sämtlichen Mitgliedsstaaten in Kraft. Welche rechtlichen Anforderungen sich aus der DSGVO ergeben und wie diese praktisch umzusetzen sind, haben wir für Sie zusammengefasst.

Rechtliche Anforderung: Informationelle Selbstbestimmung

Neu ist an der DSGVO, dass der Schutz personenbezogener Daten mit dem Informationsschutz (insbesondere auch Betriebs- und Geschäftsgeheimnisse) verschränkt wird. Datenschutz ist dann als eine Teilmenge des Informationsschutzes zu verstehen. Damit soll das Grundrecht auf Geheimhaltung der personenbezogenen Daten der Betroffenen („informationelle Selbstbestimmung“) sichergestellt werden.

Unternehmen, die persönliche Daten von Betroffenen (z. B. Kunden, MitarbeiterInnen, etc.) rechtmäßig besitzen und verarbeiten, sind für den Schutz dieser Daten auch verantwortlich und dürfen diese nur unter Einwilligung der jeweiligen Betroffenen für die dafür vereinbarten Zwecke verwenden. Diese Daten dürfen an Dritte nur weitergegeben werden, wenn es sich bei diesen um sogenannte Auftragsverarbeiter (z. B. Steuerberater, IT-Dienstleister, etc.) handelt, die diese Daten im Sinne des Betroffenen weiter­verarbeiten (z. B. Erstellung der Lohnverrechnung) und die Verarbeitungsgrundsätze vertraglich festgehalten wurden. Bei Verstößen gegen das einheitliche Datenschutzrecht in der EU drohen extreme Strafen (bis max. EUR 20 Mio. bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes).

Praktische Umsetzung: Aufbau eines (ersten) Datenverarbeitungsverzeichnisses

Um den Anforderungen der DSGVO Rechnung zu tragen, haben Datenverantwortliche die Rechtskonformität ihrer Datenverarbeitung nachzuweisen. Dies muss durch den Aufbau eines Verzeichnisses der Verarbeitungstätigkeiten geschehen, welches alle Datenverarbeitungsprozesse (NICHT die einzelnen Daten!) abbildet. Am Beginn steht dabei die Erhebung der relevanten Geschäfts­prozesse (z. B. Umgang mit Bewerbungen, Lohnverrechnung der MitarbeiterInnen, etc.). Danach sind diese Daten in Kategorien zu bündeln, die jeweiligen Empfänger zu benennen und etwaige Löschfristen festzuhalten. Abschließend müssen noch technische und organisatorische Maßnahmen (TOMs) formuliert werden, welche in der Lage sind die Sicherheit der Daten auch zu gewährleisten.

UNSER TIPP

Ab Ende Mai 2018 können (stichprobenartige) Überprüfungen einer Einhaltung der DSGVO stattfinden, weshalb Unternehmen ab diesem Zeitpunkt für „Datenschutzaudits“ gerüstet sein sollten. Informieren Sie sich daher frühzeitig und beginnen Sie rechtzeitig mit dem Aufbau Ihres Datenverarbeitungsverzeichnisses.

PDF