Am 25. Mai 2018 tritt mit der Datenschutzgrundverordnung (DSGVO) ein komplett neues, europäisches Datenschutzrecht in Kraft. In Deutschland ändert sich zwar nicht alles. Trotzdem gibt es für Unternehmen und Freiberufler viele erhebliche Änderungen, die es umzusetzen gilt. Wer noch nicht mit der Umsetzung der neuen Vorgaben begonnen hat, ist gut beraten, dies unverzüglich zu tun.
Nach mehrjährigem Vorlauf ist es Ende Mai 2018 endlich soweit und die DSGVO ersetzt hierzulande das komplette bisherige Datenschutzrecht. Es geht also um den Schutz von personenbezogene Daten, also Informationen, mit deren Hilfe natürliche Personen identifiziert werden können. Hierunter fallen etwa Namen oder Adresse, aber auch genetische Daten oder IP-Adressen.
Neuerungen bringen die neuen Regelungen vor allem im Bereich der Anforderungen an die IT-Sicherheit. Diese wird nun elementarer Bestandteil des Datenschutzes und ist bei Speicherung und Verarbeitung der sensiblen Daten zwingend zu berücksichtigen. So muss vorab vor jeder Nutzung überprüft werden, wie hoch das Risiko für die Inhaber der Daten durch die Verarbeitung ausfällt.
Ausgehend von diesem Risiko müssen dann auf Basis unter anderem des Stands der Technik geeignete technische und organisatorische Maßnahmen identifiziert werden, um ein angemessenes Schutzniveau zu gewährleisten. Das Ergebnis dieser Abwägung ist durch das jeweilige Unternehmen zu dokumentieren. Zwar spielt bei der Bemessung des notwendigen Sicherheitsstandards auch die Größe und das finanzielle Leistungsvermögen eine Rolle. Aber auch in kleinen Unternehmen ist es zum Beispiel mit Sicherheit nicht ausreichend, Daten von Kunden oder auch den eigenen Mitarbeitern in irgendwelchen Excel-Tabellen auf dem heimischen Server zu lagern, auf den vielleicht noch das ganze Unternehmen Zugriff hat.
Weiterer dringender Handlungsbedarf besteht in der Außendarstellung auf der eigenen Website. Hier gilt es, eine der DSGVO angepasste Datenschutzerklärung anzubieten. Der Umfang der darin enthaltenen Informationspflichten vervielfacht sich gegenüber den bisherigen Pflichtangaben, so dass dieser Text jetzt sehr lang wird. Neu zu gestalten sind auch Einwilligungsfelder bei der Erhebung von Daten, zum Beispiel bei der Anmeldung zu Newslettern.
Große Gewinner des neuen Datenschutzes sind die Verbraucher, die eine Menge neuer Rechte dazugewinnen. Dies zeigt sich etwa bei dem Auskunftsrecht bezüglich der bei Unternehmen oder auch staatlichen Stellen gespeicherten eigenen Daten, das weit über die bisherige Regelung hinausgeht. Auch das Recht auf Vergessenwerden der Verbraucher bringt hinsichtlich der Pflichten zur Löschung von Daten neue Ansprüche für die Nutzer.
Wer noch nicht mit der Umsetzung der vielfältigen und zum Teil umfangreichen Anforderungen der Datenschutzgrundverordnung begonnen hat, der sollte unverzüglich damit beginnen. Dies gilt vor allem für die Bewertung und Umsetzung der Anforderungen an die IT-Sicherheit sowie die damit verbundenen Dokumentationspflichten. Auch die Verträge mit Dienstleistern, die mit personenbezogenen Daten konfrontiert werden, müssen neu geregelt werden. Diese heißen nun statt Auftragsdatenverarbeiter nur noch Auftragsverarbeiter.
Stärkstes Argument für eine zügige Umsetzung der neuen Regelungen sind Abmahnungen, die vor allem für nicht ordentlich angepasste Elemente der eigenen Website wie die Datenschutzerklärung drohen. Nach der Einführung der DSGVO drohen aber auch erhebliche Erhöhungen der Bußgelder für Verstöße gegen den Datenschutz. Diese müssen nun „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Vervielfacht hat sich vor allem die Höhe der potentiellen Strafen. Diese liegen nunmehr bei bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Konzerns!
Joerg Heidrich ist Rechtsanwalt und Fachanwalt für IT-Recht in der Kanzlei Heidrich Rechtsanwälte (www.recht-im-internet.de) und berät im Bereich IT-Sicherheit und Datenschutz.
Sie interessieren sich für ein auf Sie zugeschnittenes Datenschutz-Audit oder unsere Dienstleistung als externer Datenschutzbeauftragter? Wir freuen uns auf Ihre Anfrage. Sie erreichen uns unter 0511/499999-600 oder
