Deutsches Datenschutzrecht wird an die EU-Vorgaben angepasst

■  Neues Bundesdatenschutzgesetz im Bundestag: Deutschland ist damit europaweiter Vorreiter bei der Anpassung der Gesetze an die EU-Datenschutz-Grundverordnung.

■  Unternehmen haben nur noch bis 25. Mai 2018 Zeit, die neuen Vorgaben umzusetzen.

■  Bei Verstößen drohen Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.

 

Das deutsche Datenschutzrecht wird an die EU-Vorgaben angepasst. Der Bundestag will Ende April 2017 das Gesetz zur Anpassung des Datenschutzrechts an die EU-Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie zur Datenverarbeitung bei Polizei und Justiz (DSAnpUG-EU) verabschieden, nachdem darüber noch einmal der Innenausschuss beraten hat.

Damit wird das bisherige Bundesdatenschutzgesetz komplett durch ein neues, abgespecktes Bundesdatenschutzgesetz ersetzt. Zwar kann der Bundesrat mit Blick auf einzelne Regelungen noch den Vermittlungsausschuss anrufen, da der Bundestag den Empfehlungen der Länderkammer weitgehend gefolgt ist, ist dies jedoch nicht zu erwarten.

»Deutschland wird mit dem Beschluss Vorreiter bei der Anpassung seiner allgemeinen Datenschutzgesetze an die EU-Verordnung«, sagt Bitkom-Geschäftsleiterin Susanne Dehmel. »Der wesentliche zukünftige Rechtsrahmen für die Datenverarbeitung in Deutschland ist damit gesetzt. Es gibt also keinen Grund für Unternehmen, noch länger mit der Anpassung ihrer Verträge und Prozesse an die Datenschutz-Grundverordnung zu warten.«

 

Bitkom empfiehlt allen datenverarbeitenden Unternehmen, sich dringend mit dem Thema auseinanderzusetzen.

 

Bereits in gut einem Jahr, ab dem 25. Mai 2018, endet die Übergangsfrist und es kommt nur noch das neue Datenschutzrecht nach der Datenschutz-Grundverordnung zur Anwendung, ergänzt durch die Regelungen des BDSG-neu und einige spezialgesetzliche Regelungen. Das bedeutet, dass dann auch deutlich höhere Strafen für Datenschutzverstöße verhängt werden können, die bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.

 

Inhaltlich ist das BDSG-neu mit Blick auf die Unternehmen nach Ansicht des Verbandes weder ein großer Wurf noch besonders bedenklich. Dehmel: »Die wirklich wichtigen Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der EU-Verordnung geregelt, wie zum Beispiel das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen.« Einzelne Beschränkungen sieht das nationale Gesetz bei den Betroffenenrechten vor, diese sind jedoch minimal. Ferner gibt es spezifische Verarbeitungsregeln für besondere Kategorien von personenbezogenen Daten wie etwa Gesundheitsdaten.

»An dem grundsätzlichen Problem, dass die EU-Verordnung insgesamt zu bürokratisch und zu wenig zukunftsgerichtet ist, kann auch das nationale Gesetz nichts ändern«, so Dehmel. »Ärgerlich ist jedoch, dass das BDSG-neu in seiner Regelung zur Datenverarbeitung im Beschäftigtenverhältnis über die formalen Anforderungen der Verordnung hinausgeht und damit eher noch bürokratische Hürden aufbaut.«

 

Bitkom hatte sich dafür eingesetzt, die nationalen Regelungen möglichst schlank zu halten, um die europäische Rechtsharmonisierung nicht zu konterkarieren. Das ist teilweise gelungen, teilweise hält man an bereits aus dem alten BDSG bekannten Regelungen fest. Dehmel: »Durch die gemeinsame Umsetzung von EU-Verordnung und Richtlinie sowie der gleichzeitigen Schaffung von allgemeinen Datenschutzregeln für Bereiche, die gar nicht von der EU vorgegeben sind wie etwa für Geheimdienste, ist das Gesetz zudem sehr komplex und schwer lesbar geworden.«

 

Die Veränderungen beim Datenschutzrecht sind mit der erwarteten Verabschiedung im Bundestag noch nicht beendet. Der Bitkom weist darauf hin, dass in der kommenden Legislaturperiode noch viele spezialgesetzliche Regelungen sowie Länderregelungen zum Datenschutz angepasst werden müssen. In Brüssel wird außerdem bereits die E-Privacy-Verordnung verhandelt, welche zusätzliche Regeln für Kommunikationsdaten enthalten soll.

 


 

Sind Sie bereit für die Datenschutz-Grundverordnung? Drei einfache Schritte für einen proaktiven Ansatz

Die Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018 und führt ein neues Regelwerk für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten ein. Unternehmen sollten sich vorbereiten, um regelkonform zu bleiben und finanzielle Fallstricke zu vermeiden.

Die Datenschutz-Grundverordnung wird am 25. Mai 2018 in Kraft treten und einheitliche Regelungen in der gesamten EU einführen. Sie gilt in allen Mitgliedsstaaten gleichermaßen. Die Grundverordnung hebt die Richtlinie 95/46/EG (Datenschutzrichtlinie) auf. Die Datenschutzrichtlinie wurde jeweils durch die einzelnen Mitgliedsstaaten in nationales Recht umgesetzt und galt darum als nicht einheitlich in der EU.

Neben deutlich härteren Strafen führt die Grundverordnung schwerwiegende Compliance-Verpflichtungen ein. So müssen lokale Behörden beispielsweise unverzüglich und, soweit machbar, innerhalb von 72 Stunden über Datenschutzverletzungen informiert werden; wenn die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, muss die betroffene Person ebenfalls unverzüglich unterrichtet werden. Darüber hinaus ist die Definition von personenbezogenen Daten umfassender als die der Datenschutzrichtlinie.

Die Grundverordnung trifft nicht nur in der EU ansässige Unternehmen, sondern kann auch für jede andere Organisation inner- und außerhalb der EU gelten, die personenbezogene Daten von EU-Bürgern verarbeitet. Dies ist der Fall, wenn Unternehmen Waren oder Dienstleistungen EU-Bürgern offerieren, oder wenn die Verarbeitung der personenbezogenen Daten darin besteht, ihr Verhalten zu überwachen.

Die Datenschutz-Grundverordnung führt härtere Strafen für Verstöße ein, als die derzeit geltenden. Beispielsweise können Verstöße mit Sanktionen von bis zu 20 Millionen Euro oder im Falle internationaler Organisationen 4 % des weltweiten Jahresumsatzes der Organisation geahndet werden. Dazu gehören insbesondere Verstöße, die sich auf die Rechte des Datensubjekts beziehungsweise der betroffenen Person beziehen sowie auf die Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU).

Organisationen müssen den neuen Rechtsrahmen einhalten

Angesichts der massiven und anhaltenden Veränderungen in der digitalen Welt ist es eine technische und organisatorische Herausforderung, den Rechtsrahmen für den Datenschutz in Europa einzuhalten.

Gleichzeitig gehen Millionen von Datensätzen mit personenbezogenen Daten jedes Jahr verloren oder werden gestohlen. Tatsächlich hat ein Bericht der britischen Regierung festgestellt, dass zwei Drittel der großen Unternehmen im Jahr 2015 einen Cyber-Verstoß oder -Angriff erlebt haben. Die Datenschutz-Grundverordnung liefert Unternehmen einen Anstoß, diese Probleme direkt anzugehen.

Die Einhaltung der Grundverordnung stellt eine Herausforderung für Unternehmen dar

Die Einhaltung der Vorschriften ist jedoch mit einer Reihe an Herausforderungen verbunden: wie bereits erwähnt, besteht eine große Herausforderung darin, dass der Überwachungsbehörde ein Missbrauch personenbezogener Daten mitgeteilt werden muss und nur ein kurzer Zeitrahmen zur Verfügung steht, um dies zu tun. Hinzu kommt die Pflicht, die betroffene Person über die Verletzung zu informieren. Dies ist eine wesentliche neue Anforderung.

Drei einfache Schritte für einen proaktiven Ansatz

Da das Inkrafttreten der Datenschutz-Grundverordnung stetig näher rückt, werden Unternehmen überlegen müssen, welche Maßnahmen erforderlich sind, um die Verordnung einzuhalten.

Für diejenigen, die diese Herausforderung erst jetzt angehen, gilt es einige klare erste Schritte einzuleiten. Überlegungen zur Umsetzung dieser Schritte zum jetzigen Zeitpunkt können dazu beitragen, finanzielle Fallstricke in der Zukunft zu vermeiden.

1) VERSTEHEN SIE DAS PERSÖNLICHE DATEN-UNIVERSUM IHRES UNTERNEHMENS

Organisationen sollten Maßnahmen ergreifen, um sich ein klares Verständnis hinsichtlich ihres persönlichen Datenuniversums zu verschaffen: Es ist zum Beispiel wichtig zu wissen, welche Arten von personenbezogenen erfasst werden, wie und von wem diese gesammelt werden, wo die Daten gespeichert werden, was damit gemacht wird, wer damit umgeht, die Gründe für die Verarbeitung, die Speicherungsdauer sowie die Gründe für die Speicherung oder Löschung von Daten, und natürlich, inwiefern diese Praktiken die bevorstehenden regulatorischen Verpflichtungen nach der Datenschutz-Grundverordnung und anderen gesetzlichen Anforderungen erfüllen.

2) PLANUNG UND KOMMUNIKATION

Planung und Kommunikation sind der Kern einer erfolgreichen Information-Governance-Strategie. Die Schlüsselpersonen (typischerweise IT-, Rechts-, Compliance-, Geschäfts-, Vertriebs- und Personalabteilungen, die sich mit personenbezogenen Daten befassen) an einen Tisch zu holen, um ein Daten-Mapping zu erstellen – im Wesentlichen eine Beschreibung der unternehmensspezifischen Datentypen, der technischen Infrastruktur und der Speicherlösungen ist ein wesentlicher zweiter Schritt.

3) BESTÄNDIGE WACHSAMKEIT

Es genügt nicht, eine unregelmäßige Überwachung der personenbezogenen Daten einzuführen. Da sich die personenbezogene Datenlandschaft eines Unternehmens kontinuierlich verschiebt, ist das Mapping dieser Landschaft vielmehr eine laufende Anforderung als eine einmalige Übung. Ein proaktiver und fortlaufender Ansatz für das Gebiet der Information Governance stellt sicher, dass Unternehmen bereit sind, mit zukünftigen Entwicklungen und Verschiebungen umzugehen.

Privatsphäre muss ein Kerngeschäft werden

Es wird erwartet, dass die Einführung der Datenschutz-Grundverordnung eine deutlich gesteigerte Umsetzung der Datenschutzbestimmungen in der gesamten EU bewirken wird. Privatsphäre muss nun ein Kerngeschäftsprogramm für in der EU agierende Unternehmen werden, und die Planung der Herausforderungen, die die Grundverordnung mit sich bringt, sollte jetzt beginnen. Mit der richtigen Vorbereitung werden Unternehmen in der Lage sein, die Vorteile eines starken regulatorischen Rahmens zur Entwicklung von Technologien und Prozessen zu nutzen. Bei ausbleibender Planung erhöht sich das Risiko einer Verletzung der Datenschutz-Grundverordnung mit der Konsequenz erheblicher Schäden finanzieller Art oder für die Reputation des Unternehmens.

 

Martin Bonney, Director International Consulting Services, Epiq

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

EU-DSGVO: Datenschutz-Grundverordnung der EU verunsichert Unternehmen

EU-Datenschutz-Grundverordnung – Fünf-Punkte-Plan für die Datensicherung

Offenen Auges in die Falle: Unternehmen sind unzureichend auf EU-Datenschutz-Grundverordnung vorbereitet

Internationaler Datenschutztag: Kunden setzen auf »Datenschutz Made in Germany«

Geburtstag eines Klassikers: Zehn Jahre Europäischer Datenschutztag

EU-DSGVO: Vom neuen EU-Datenschutz nicht verängstigen lassen

Mehr als die Hälfte der Unternehmen ist nicht auf die Datenschutz-Grundverordnung vorbereitet

Der Datenschutz muss in digitale Produkte eingebaut sein

IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten