Gastbeitrag: Neustart des Datenschutzes

Am 25. Mai 2018 tritt mit der Datenschutzgrundverordnung (DSGVO) ein komplett neues, europäisches Datenschutzrecht in Kraft. In Deutschland ändert sich zwar nicht alles. Trotzdem gibt es für Unternehmen und Freiberufler viele erhebliche Änderungen, die es umzusetzen gilt. Wer noch nicht mit der Umsetzung der neuen Vorgaben begonnen hat, ist gut beraten, dies unverzüglich zu tun.

Nach mehrjährigem Vorlauf ist es Ende Mai 2018 endlich soweit und die DSGVO ersetzt hierzulande das komplette bisherige Datenschutzrecht. Es geht also um den Schutz von personenbezogene Daten, also Informationen, mit deren Hilfe natürliche Personen identifiziert werden können. Hierunter fallen etwa Namen oder Adresse, aber auch genetische Daten oder IP-Adressen.

Neuerungen bringen die neuen Regelungen vor allem im Bereich der Anforderungen an die IT-Sicherheit. Diese wird nun elementarer Bestandteil des Datenschutzes und ist bei Speicherung und Verarbeitung der sensiblen Daten zwingend zu berücksichtigen. So muss vorab vor jeder Nutzung überprüft werden, wie hoch das Risiko für die Inhaber der Daten durch die Verarbeitung ausfällt.

Ausgehend von diesem Risiko müssen dann auf Basis unter anderem des Stands der Technik geeignete technische und organisatorische Maßnahmen identifiziert werden, um ein angemessenes Schutzniveau zu gewährleisten. Das Ergebnis dieser Abwägung ist durch das jeweilige Unternehmen zu dokumentieren. Zwar spielt bei der Bemessung des notwendigen Sicherheitsstandards auch die Größe und das finanzielle Leistungsvermögen eine Rolle. Aber auch in kleinen Unternehmen ist es zum Beispiel mit Sicherheit nicht ausreichend, Daten von Kunden oder auch den eigenen Mitarbeitern in irgendwelchen Excel-Tabellen auf dem heimischen Server zu lagern, auf den vielleicht noch das ganze Unternehmen Zugriff hat.

Weiterer dringender Handlungsbedarf besteht in der Außendarstellung auf der eigenen Website. Hier gilt es, eine der DSGVO angepasste Datenschutzerklärung anzubieten. Der Umfang der darin enthaltenen Informationspflichten vervielfacht sich gegenüber den bisherigen Pflichtangaben, so dass dieser Text jetzt sehr lang wird. Neu zu gestalten sind auch Einwilligungsfelder bei der Erhebung von Daten, zum Beispiel bei der Anmeldung zu Newslettern.

Große Gewinner des neuen Datenschutzes sind die Verbraucher, die eine Menge neuer Rechte dazugewinnen. Dies zeigt sich etwa bei dem Auskunftsrecht bezüglich der bei Unternehmen oder auch staatlichen Stellen gespeicherten eigenen Daten, das weit über die bisherige Regelung hinausgeht. Auch das Recht auf Vergessenwerden der Verbraucher bringt hinsichtlich der Pflichten zur Löschung von Daten neue Ansprüche für die Nutzer.

Wer noch nicht mit der Umsetzung der vielfältigen und zum Teil umfangreichen Anforderungen der Datenschutzgrundverordnung begonnen hat, der sollte unverzüglich damit beginnen. Dies gilt vor allem für die Bewertung und Umsetzung der Anforderungen an die IT-Sicherheit sowie die damit verbundenen Dokumentationspflichten. Auch die Verträge mit Dienstleistern, die mit personenbezogenen Daten konfrontiert werden, müssen neu geregelt werden. Diese heißen nun statt Auftragsdatenverarbeiter nur noch Auftragsverarbeiter.

Stärkstes Argument für eine zügige Umsetzung der neuen Regelungen sind Abmahnungen, die vor allem für nicht ordentlich angepasste Elemente der eigenen Website wie die Datenschutzerklärung drohen. Nach der Einführung der DSGVO drohen aber auch erhebliche Erhöhungen der Bußgelder für Verstöße gegen den Datenschutz. Diese müssen nun „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Vervielfacht hat sich vor allem die Höhe der potentiellen Strafen. Diese liegen nunmehr bei bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Konzerns!

Joerg Heidrich ist Rechtsanwalt und Fachanwalt für IT-Recht in der Kanzlei Heidrich Rechtsanwälte (www.recht-im-internet.de) und berät im Bereich IT-Sicherheit und Datenschutz.

Sie interessieren sich für ein auf Sie zugeschnittenes Datenschutz-Audit oder unsere Dienstleistung als externer Datenschutzbeauftragter? Wir freuen uns auf Ihre Anfrage. Sie erreichen uns unter 0511/499999-600 oder

Share on facebook
Share on linkedin
Share on xing
Share on pinterest
Share on email

Kontakt

Was für Sie auch interessant sein könnte

Weitere Artikel

Ratgeber

Einsatz von Telefaxen ist nicht datenschutzkonform

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit hielt die Übermittlung sensibler personenbezogener Daten mit Verweis auf §88 TKG für zulässig. Der Bremer Landesbeauftragte für den Datenschutz und die Informationsfreiheit bezog jetzt hierzu jedoch klar Stellung.

Ratgeber

WhatsApp-Alternativen: Messenger im Überblick

Nicht zuletzt durch das Vorhaben, alle Nutzerinnen und Nutzer den neuen Nutzungs- und Privatsphärebestimmungen zustimmen und sich damit weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen zu lassen, stellen sich viele erneut die Frage, ob WhatsApp als Messenger tatsächlich noch geeignet ist.

Ratgeber

Datenschutzrechtliche Fragen zu Corona-Tests von Beschäftigten

Arbeitgeber müssen seit 22.04.2021 allen Beschäftigten, die nicht ausschließlich in ihrer Wohnung arbeiten, mindestens einmal wöchentlich einen Corona-Test anbieten. Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu kürzlich eine Orientierungshilfe zum datenschutzrechtlichen Umgang bei Corona-Tests von Beschäftigten veröffentlicht.

Jetzt für den Newsletter anmelden

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Newsletter

Wir verwenden Sendinblue als unsere Marketing-Plattform. Wenn Sie das Formular ausfüllen und absenden, bestätigen Sie, dass die von Ihnen angegebenen Informationen an Sendinblue zur Bearbeitung gemäß den Nutzungsbedingungen übertragen werden.