Datenschutzgrundverordnung (DS-GVO)… und nun??? – Missachtung ist kein „Kavaliersdelikt“! –
– was Sie als Unternehmen wissen müssen –
„Falschparken“ im Datenschutz wird zukünftig richtig teuer Millionenrisiken für Unternehmen
Ein Verstoß gegen datenschutzrechtliche Vorschriften kann im Ernstfall teuer werden, denn die bisherige Bußgeldpraxis ändert sich substantiell mit der DS-GVO — mit drastischen Folgen! Die DS-GVO gilt unmittelbar für alle EU-Mitgliedsländer und sieht drakonische Strafen vor. Es drohen Bußgelder von bis zu 20 Mio. Euro oder 4% des global erzielten Unternehmensumsatzes des Vorjahrs – je nachdem, welcher der Beträge höher ist.
Ende der „Schonzeit“ DS-GVO tritt in Kraft zum 25. Mai 2018 Vorrang der DS-GVO
Das Thema Datenschutz hatte in Deutschlands und Europas Unternehmen jahrelang kaum Bedeutung – seit diversen Datenschutzskandalen und mit Verabschiedung der DS-GVO hat sich dies geändert. Diese gilt unmittelbar und direkt in jedem Mitgliedstaat. Die „Schonzeit“ im Umgang mit personenbezogenen Daten ist vorbei.
Aufsichtsbehörden sind angehalten stichprobenartig Unternehmen zu prüfen
Die Aufsichtsbehörden dürfen und sollen nun auch von sich aus ermitteln – und nicht wie bisher ausschließlich aufgrund eines konkreten Anlasses. Zudem können sie nun Zwangsgelder verhängen, Bußgeldverfahren einleiten und Strafantrag stellen. Die Aufsichtsbehörden werden sich bei der Berechnung von Bußgeldern im Zweifelsfall eher an dem gruppenweiten Umsatz als an dem des Unternehmens orientieren.
Folgen der hohen Bußgelder für Unternehmen und deren Compliance-Abteilungen
Compliance ist regulatorisches Risikomanagement. Datenschutz ein Compliance-Kodiz. Für die Wirtschaft hat die Regelung der Bußgelder in der kommenden DS-GVO erhebliche Folgen. Auf Grund der ab 2018 drohenden ausgesprochen hohen Bußgelder wird der Datenschutz künftig zu einem ähnlich wichtigen Thema für Unternehmen, deren Risikomanagement und Compliance-Abteilungen wie Verstöße gegen Kartell-, Korruptions- oder Steuerrecht.
Beweislastumkehr zu Ungunsten der verantwortlichen Stelle (Unternehmen)
Die für die Verarbeitung verantwortlichen Firmen müssen nicht nur sicherstellen, dass ihre Datenverarbeitungen gemäß der DS-GVO erfolgen. Sie müssen auch den Nachweis erbringen können. Diese Beweislastregelung führt dazu, dass Wirtschaftsunternehmen künftig beweisen müssen, dass sie die umfassenden Vorgaben der Verordnung auch tatsächlich umgesetzt haben.
Umfassende Dokumentation sämtlicher technischer und organisatorischer Maßnahmen
Dies erfordert nicht nur eine umfassende Implementierung der strengen Regelungen der DS-GVO, sondern auch eine umfassende Dokumentation sämtlicher technischer und organisatorischer Maßnahmen zur Sicherstellung des Datenschutzes. Dies ist zum einen eine Herausforderung für das Projektmanagement zur Implementierung eines effektiven Dokumenten Management Systems (DMS) als auch für die Compliance und Rechtsabteilung die bei streitbarer Auseinandersetzung diese Regelungen auch bei Gerichtsverfahren vor hohe prozessuale Hürden stellen wird.
DS-GVO | die wichtigsten Änderungen (Kurzüberblick)
– Unternehmen müssen Betroffene von der Verarbeitung ihrer personenbezogenen Daten umfassender und genauer als bisher informieren.
– Neu ist das sog. Konzernprivileg, das bislang nach deutschem Datenschutzrecht nicht existiert.
– Der Strafkatalog der DS-GVO sieht bei Verstößen erhebliche Sanktionen vor. Höhere noch als bereits im BDSG verankerte. Im Extremfall ist ein Bußgeld bis zu 4 % des weltweiten Jahresumsatzes möglich.
– Verantwortliche Stelle muss technische und organisatorische Maßnahmen sowie Verfahren einführen, die Einhaltung datenschutzrechtlicher Vorschriften gewährleisten.
– Künftig sehen Art. 5 Abs. 2 und Art. 24 DS-GVO umfassende Regelungen zur Verantwortlichkeit beim Umgang mit Daten vor. Unternehmen müssen dokumentieren, was sie zur Einhaltung der Vorgaben der DS-GVO tun. Und dies müssen sie auch beweisen können, Art. 24 Abs. 1 DS-GVO.
– Standardeinstellungen müssen darauf ausgerichtet sein, nur die personenbezogenen Daten zu verarbeiten, die für den konkreten Zweck benötigt werden.
– Umfassende Anforderungen an die Produktentwicklung und -implementierung sind daher schon im frühen Projektstadium zu beachten.
– „Privacy by Design“ – wir Kernbestanteil des Datenschutzrechts.
– Kernaussagen der Safe-Harbor Entscheidung des EuGH wurden in der DS-GVO berücksichtigt, aber Achtung! Es besteht aktuell immer noch eine gewisse Rechtsunsicherheit für Unternehmen.
– Für Betriebe besonders wichtig: Zwischen Betriebsrat und Arbeitgeber vereinbarte Betriebsvereinbarungen bleiben möglich. Sie müssen aber an die Vorgaben der DS-GVO angepasst werden.
– EU-Kommission kann und wird die Angemessenheit des Schutzniveaus im Drittland feststellen, bzw. festlegen.
Was nun? Was tun? Wer? Wie?
Unternehmen sollten jetzt vor allem Ihre bestehenden Verfahrensregeln überprüfen (lassen), anpassen und ggfs. neue einführen. Datenübertragbarkeit (Art. 20 DS-GVO), Privacy by Design and by Default (Art. 25 DS-GVO), Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, Art. 35 DS-GVO), das Recht auf Vergessenwerden (Art. 17 DS-GVO), erhöhte Informations- und Transparenzpflichten (Art. 12 bis Art. 15 DS-GVO) sind nur ein Teil der vielen neuen Anforderungen, die Firmen in den kommenden zwei Jahren analysieren und umsetzen müssen. Das funktionier nur mit Plan, Team und Fachwissen.
Auch mit bereits guten, auf das BDSG ausgerichteten Datenschutz-Management-Systemen (DMS), werden in Bezug auf die zusätzlichen Anforderungen des kommenden EU-weiten Datenschutzrechts noch deutliche Adaptierungen erforderlich sein. Wir zeigen Ihnen welche.
Gerade bei mitbestimmungspflichtigen Themen wie Datenschutzrichtlinien oder IT-Betriebsvereinbarungen können die notwendigen Verhandlungen mit dem oder den zuständigen Konzern-, Gesamt- oder lokalen Betriebsräten oft Monate oder Jahre in Anspruch nehmen.
Öffnungsklauseln | Nationale Sonderregelungen
– Nationale Sonderregelungen im Rahmen der DS-GVO sind indes möglich bei:
- Ausgestaltung nationaler Erlaubnistatbestände;
- Einschränkung Verbot automatisierter Einzelentscheidungen;
- nationalen Vorgaben für Auftragsdatenverarbeiter;
- Schaffung nationaler Spezialregeln bei der Verarbeitung von Beschäftigtendaten….
TOP 10 Compliance Themen | im Lichte der DS-GVO
- Stabstellen Datenschutzbeauftragter (DSB) und IT-Sicherheitsbeauftragter (ITSB). Besetzt? Gesetzeskonform?
- Datenschutzerklärungen und Transparenzgrundsätze
- Allgemeine Datenschutzprinzipien und risikobasierter Ansatz
- Dokumentation und Folgenabschätzung
- Meldepflichten bei Datenschutzverstößen und Datenpannen
- Privacy by Design und Privacy by Default Kriterien
- Technische und Organisatorische Massnahmen
- Datentransfers in Drittstaaten
- Territorialer Anwendungsbereich der DS-GVO
- Sanktionen, Rechtsbehelfe, Haftung