EU-Datenschutz-Grundverordnung (DSGVO)Im Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, die das europäische Datenschutzrecht grundlegend verändern wird. Nach einer Übergangsfrist von zwei Jahren endet die Umsetzungsfrist am 25. Mai 2018. Die DSGVO wird das Datenschutzrecht innerhalb Europas weitestgehend harmonisieren. Dabei steht der verstärkte Schutz personenbezogener Daten im Vordergrund. Vieles kennen wir bereits aus dem Bundesdatenschutzgesetz (BDSG), anderes wird konkretisiert und ergänzt, gleichwohl kommen auch neue Anforderungen hinzu. Soweit so gut. Wir wollen ein paar der wichtigsten Punkte kurz zusammenfassen, auf die sich Unternehmen einstellen müssen.

Vorab: Was sind personenbezogene Daten?

Um sich bewusst zu machen, um was es in der DSGVO geht, werfen wir ein Blick auf die Frage was sind denn eigentlich personenbezogene Daten. Das erklärt die DSGVO recht ausführlich.

Daten sind personenbezogen, wenn sie „sie sich auf eine identifizierte oder identifizierbare natürliche Person“ (DSGVO Art. 4) beziehen. Identifizierbar ist eine Person durch eine Kennung, einen Namen, eine Kennnummer, durch Standortdaten oder durch besondere Merkmale, „die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (DSGVO Art. 4). Ist die Person anhand dieser Merkmale direkt oder indirekt identifizierbar, sind die Daten personenbezogen.

Die Grundsätze der DSGVO

Bei der Verarbeitung personenbezogener Daten sind folgende Grundsätze anzuwenden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Die Einhaltung dieser Punkte muss nachweisbar sein („Rechenschaftspflicht“). Das bedeutet, dass ein besonderer Fokus auf der Dokumentation (wie z.B. Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgeabschätzung etc.) der Verarbeitung von personenbezogenen Daten liegen wird.

Rechte der betroffenen Personen (Transparenz und Information)

Neu sind umfangreiche datenschutzrechtlichen Transparenz- und Informationspflichten. Datenverarbeitende Unternehmen müssen zukünftig, die Person, deren Daten sie speichern, umfassend darüber aufklären, was mit den Daten geschieht (Transparenz). Dazu gehört insbesondere: der Zweck und die Rechtsgrundlage der Datenverarbeitung, das bestehende Rechte auf Auskunft (Informationspflicht), Berichtigung und Löschung („Recht auf Vergessenwerden“) und Widerspruch sowie mögliche Datenübermittlungen an Dritte. Anders als unter der jetzt gültigen Rechtslage müssen die Unternehmen die Betroffenen im Fall von Datenpannen nicht nur benachrichtigen, wenn besonders sensible Daten betroffen sind, sondern in jedem Fall, sofern eine Beeinträchtigung der Rechte zu erwarten ist.

Technische und organisatorische Maßnahmen (TOM)

Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen Vertraulichkeit, Integrität und Authentizität der personenbezogenen Daten. Die Unternehmen müssen eine Sicherheitspolitik etablieren, die auf der Grundlage einer Risikoanalyse unter anderem die nachfolgend genannten Punkte umfasst:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten im Falle eines physischen oder technischen Zwischenfalls rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Im Ergebnis sind Unternehmen damit verpflichtet, ein Informationssicherheits-Managementsystem und ein Risikomanagement zu etablieren, um den Anforderungen der DSGVO zu genügen.

Risikomanagement und Strafen

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, muss der Verantwortliche dies innerhalb von 72 Stunden nachdem die Verletzung bekannt wurde, der Datenschutzbehörde melden. Welche Informationen diese Meldung beinhalten muss, ist in der DSGVO festgehalten (DSGVO Art.33). Wenn ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht, muss diese ebenfalls umgehend über den Vorfall benachrichtigt werden (DSGVO Art. 34). Die Geldbußen, die gemäß DSGVO verhängt werden können, sind deutlich höher als zuvor. Mit der neuen Verordnung können je nach Art, Schwere und Dauer, Anzahl der betroffenen Personen und den Umständen des Vergehens Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro erhoben werden.

Die Zeit bis zum Ende der o.a. Übergangsphase wird nunmehr knapp. Die Übergangsfrist war bzw. ist dafür vorgesehen, dass Unternehmen die aufwendigen Vorarbeiten rechtzeitig leisten können. Als Fazit bleibt: Wer sich bislang noch nicht mit dem Thema beschäftigt hat, sollte jetzt zügig die Umsetzung der DSGVO angehen.

Sprechen Sie uns gerne dazu. Wir beraten und begleiten Sie auf dem Weg zur erfolgreichen Umsetzung.