Das ändert sich für Unternehmen durch Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz  (BDSG)

Das Jahr 2018 hält einige Herausforderungen im Bereich Datenschutz bereit. Ab dem 25. Mai 2018 erhält die europäische Datenschutzgrundverordnung (DSGVO) Gültigkeit. Gleichzeitig tritt auch das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Auf Unternehmen und öffentliche Einrichtungen kommen dadurch erhebliche Änderungen bei der Verarbeitung personenbezogener Daten zu. Alle geschäftlichen Aktivitäten, Prozesse und Verträge müssen den neuen rechtlichen Regelungen angepasst werden, bei Verstößen drohen hohe Bußgelder.

Fünf Jahre lang wurden unzählige Diskussionen geführt und 3100 Änderungsanträge abgearbeitet bis der EU-Ministerrat am 21. April 2016 die europaweit geltende Datenschutzgrundverordnung (DSGVO) offiziell beschlossen hatte. Mit der neuen Verordnung soll das Niveau des Datenschutzes in allen Mitgliedstaaten angeglichen werden. Die DSGVO steht über innerstaatlichen Regelungen im Bereich des Datenschutzes. Diese müssen bis Mai 2018 durchgesehen, wenn nötig angepasst oder sogar aufgehoben werden. Um die Vorgaben der DSGVO umzusetzen hat der Bundestag knapp ein Jahr später, am 27. April 2017, ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet. Das aktuell noch geltende Bundesdatenschutzgesetz wird dadurch vollständig ersetzt. Mit der Novellierung des Gesetzes soll die DSGVO ergänzt und den Mitgliedstaaten eingeräumte Gestaltungsspielräume sinnvoll genutzt werden. Denn die DSGVO enthält in ihren 99 Artikeln auch über 40 sogenannte „Öffnungsklauseln“, die einen Rahmen vorgeben, die konkrete Umsetzung aber den einzelnen EU-Mitgliedsstaaten überlassen. Einzige Voraussetzung: die national ergänzend festgelegten Regelungen dürfen der DSGVO nicht widersprechen.

Jetzt reinschauen

DSGVO Video-Kurs

Jetzt vorab anmelden. Ein Video-Kurs für proaktive Agenturen und Dienstleister im Bereich Online-Marketing und digitale Medien. Lerne, wie du mit deinen Kunden datenschutzkonform zusammenarbeiten kannst.

Jetzt reinschauen

Die wichtigsten Änderungen durch DSGVO und BDSG

Unternehmen müssen sich 2018 auf weitreichende Ãnderungen im Bereich Datenschutz einstellen. Hier finden Sie die vier wichtigsten Novellierungen, die Ihr Unternehmen betreffen können:

Artikel 22 der DSGVO regelt die „Rechenschaftspflicht“ und eine der weitreichendsten Änderungen für Unternehmer im Umgang mit (personenbezogenen) Daten. Musste ein Betroffener bisher beweisen, dass seine Daten von einem Unternehmen nicht ausreichend geschützt wurden, wird mit dem neuen Gesetz nun die Beweislast umgekehrt. Das jeweilige Unternehmen muss nachweisen, dass es die ihm anvertrauten personenbezogenen Daten konform dem DSGVO bearbeitet hat. Die datenverarbeitende Stelle muss „geeignete technische und organisatorische Maßnahmen“ ergreifen, um dieser Nachweispflicht entsprechen zu können.

Die Regelungen für den Datenschutz von Arbeitnehmern wurden mit §26 des BDSG deutlich ausgeweitet. Unter anderem ist darin die Einwilligung der Beschäftigten in die Verarbeitung und Speicherung ihrer Daten gesetzlich geregelt. Auch für Betriebsvereinbarungen, die sich mit Datenverarbeitung befassen, wurden Regelungen definiert. Das stellt Unternehmer und Betriebsräte vor die Herausforderung, alle bestehenden Vereinbarungen dem neuen Recht entsprechend zu aktualisieren.

Verstöße gegen die Regelungen des neuen BDSG werden mit maximal 50.000 Euro geahndet, wesentlich höhere Strafen drohen Unternehmen bei Nichteinhaltung der DSGVO. Behörden können Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes des jeweiligen Unternehmens verhängen.

Unternehmen müssen zukünftig ihren Kunden häufiger und detaillierter darüber Auskunft geben, wie und warum ihre Daten verarbeitet werden. Informationspflichtig sind u.a. die Speicherfrist, das Recht auf Auskunft und Löschung, die Empfänger der Daten und das Beschwerderecht bei der Datenschutzaufsichtsbehörde. Grundsätzlich müssen die betroffenen Personen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ (Art. 12 Abs. 1 DSGVO) über die Verarbeitung ihrer Daten informiert werden.

Stellung des Datenschutzbeauftragten und Kernaufgaben

Die in der DSGVO (hier Artikel 37 bis 39) und im neuen BDSG (§ 6 Abs. 4, Abs. 5 Satz 2 und Abs. 6)  getroffenen Regelungen wirken sich auch auf die Stellung, Benennung und Aufgaben von Datenschutzbeauftragten aus. Ein Unternehmen ist zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (bei automatisierten Verfahren) oder mindestens 20 Personen mit der Erhebung oder Verarbeitung personenbezogener Daten beschäftigt sind (nicht automatisierte Verarbeitung). Erstmals gibt es mit Art. 37, Abs.1 DSGVO eine europaweit geltende Pflicht einen Datenschutzbeauftragten zu benennen.

Zu den Kernaufgaben von Datenschutzbeauftragten zählen ab dem 25. Mai 2018 nach Art.39 Abs.1b DSGVO, u.a.: Unterrichtung und Beratung, Überwachung und Einhaltung der DSGVO, Sensibilisierung und Schulung, Zusammenarbeit mit und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Interner oder externer Datenschutzbeauftragter

Nach den Regelungen der DSGVO und des BDGS (neu) dürfen jetzt auch öffentliche Stellen einen externen anstelle eines internen Datenschutzbeauftragten benennen. Diese Wahlfreiheit war bisher Unternehmen vorbehalten. Es kann sowohl eine Einzelperson als auch ein Dienstleistungsunternehmen mit den Pflichten des Datenschutzbeauftragten betraut werden. Interne und externe Datenschutzbeauftragte bieten unterschiedliche Vorteile. Ein interner Datenschutzbeauftragter kennt die Geschäftsabläufe, ein externer dagegen analysiert das Unternehmen von außen mit objektivem Blick und verfügt oft über mehr Fachkenntnisse. Die erweiterten Dokumentations- und Nachweispflichten sowie das größere Aufgabengebiet der Datenschutzbeauftragten, sollten bei der Benennung ebenjener unbedingt mitbedacht werden.

„Es besteht große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen.“ (Studie Veritas)

Vorbereitung auf die DSGVO und BDSG (neu)

Es „besteht große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen“ lautet das Fazit einer von Veritas durchgeführten Studie zum Thema wie gut Unternehmen auf die zukünftigen Datenschutzregeln vorbereitet sind. Wichtige Grundlagen des Datenschutzrechtes ergeben sich zukünftig aus EU- (DSGVO) und nationalem (in Deutschland BDSG) Recht. Hohe Bußgelder, erweiterte Informations- und Dokumentationspflichten erhöhen den Druck auf Unternehmen, die neuen gesetzlichen Anforderungen lückenlos zu erfüllen. Hall unterstützt Unternehmen diese Anforderungen zu bewältigen. Professionelle Datenschutz Management Systeme, Dokumentations- und Kontrollprozesse bilden eine solide Basis.

  • Haben Sie für Ihr Unternehmen eine Übersicht über alle Verarbeitungsvorgänge die personenbezogene Daten betreffen?
  • Verfügen Sie über ein Konzept bezüglich der Sicherheit der internen Datenverarbeitung?
  • Haben Sie sich mit datenschutzrechtlichen Zertifizierungsmaßnahmen auseinandergesetzt?
  • Sind Betriebsvereinbarungen und Datenschutzerklärungen entsprechend den neuen gesetzlichen Vorgaben angepasst?

Herr Michael Hall steht Ihnen als DEKRA zertifizierter Datenschutzbeauftragter mit seinem fundiertem Fachwissen und jahrelanger Erfahrung bei der Umsetzung der DSGVO und des BDSG gerne zur Seite. Sprechen Sie uns an.

Michael Hall
Michael HallDEKRA-Datenschutzbeauftragter