LEGACON

Rechtstipps




Schärferes Datenschutzrecht ab 25.05.2018 – Jetzt handeln!
(26.06.2017)

Schon im Mai 2016 wurde durch das EU-Parlament die Datenschutz-Grundverordnung verabschiedet. 24 Monate nach ihrer Verabschiedung - also schon am 25.05.2018 – soll sie in Kraft treten, was nicht viel Zeit bedeutet. Datenschützer gehen nämlich zuweilen davon aus, dass das Datenschutzrecht durch die Verordnung die größten Änderungen der letzten 20 Jahre erfahren wird.

Nicht nur aus diesem Grunde ist die Übergangszeit von 2 Jahren extrem kurz. Unternehmen müssen sich in dieser Zeit datenschutzrechtlich komplett neu aufstellen, um in Zukunft rechtssicher agieren zu können. Die wichtigsten Änderungen für Unternehmen sind Gegenstand dieses Rechtstipps. Sie sollten auf keinen Fall zögern, notwendige Änderungen in Ihrem Unternehmen zeitnahe umzusetzen.

Im Gegensatz zu einer Richtlinie ist die Datenschutz-Grundverordnung ohne weiteren Umsetzungsakt unmittelbar geltendes Recht. Das bekannte und bewährte Bundesdatenschutzgesetz kommt deswegen neben der Verordnung nur noch ergänzend zur Anwendung, hat aber im Übrigen kaum noch Bedeutung. Ein relevantes Feld für den nationalen Gesetzgeber – und damit für das Bundesdatenschutzgesetz – ist aber der Arbeitnehmerdatenschutz, da es hierzu keine abschließende Normierung in der Datenschutz-Grundverordnung gibt.

Neben den betroffenen Unternehmen in der EU beeinflusst die Datenschutz-Grundverordnung künftig auch Unternehmen, die ihren Sitz in Drittstaaten haben. Bieten diese Unternehmen Waren oder Dienstleistungen innerhalb der EU an, sind sie genauso betroffen, wie wenn sie das Verhalten von EU-Bürgern, etwa durch Einsatz von IT-Technik, überwachen. Die Hersteller sog. Activity Tracker, deren Server oftmals nicht in der EU liegen, sind daher von der Datenschutz-Grundverordnung ebenso erfasst wie die Betreiber mancher sozialer Netzwerke.

Um das Datenschutzrecht noch effektiver durchsetzen zu können, können die nationalen Aufsichtsbehörden dieses Recht nun auch im Rahmen verschiedener Kooperationsmodelle wirksam und einfach umsetzen. In Zukunft werden so etwa Verstöße gegen das Datenschutzrecht durch ein in Irland ansässiges Unternehmen schneller und effektiver geahndet werden können, auch wenn diese Verstöße in Deutschland oder Österreich begangen werden.

Eine neue Bedeutung erhält ferner der technische und organisatorische Datenschutz. In diesem Bereich werden Unternehmen ihr Augenmerk auf eine gute Dokumentation, zum Beispiel im Rahmen eines Datenschutz-Management-Systems, richten müssen. Dies muss die Führungsspitze durchsetzen. Gleichzeitig wird die Position des Datenschutzbeauftragten aufgewertet. Anders als früher hat er die Einhaltung des Datenschutzrechts nun zu überwachen. Ein „Hinwirken“ wie unter Geltung des Bundesdatenschutzgesetzes genügt dagegen nicht mehr. Mit dieser Aufwertung sind umgekehrt aber weitergehende Pflichten des Datenschutzbeauftragten verbunden.

Die Bedeutung der Datenschutz-Grundverordnung zeigt sich abschließend an den vorgesehen Sanktionsmöglichkeiten für Verstöße. Hier ist ganz neu, dass bei einer Verletzung der Datenschutz-Grundverordnung der jeweilige Betroffene Schadensersatzansprüche gegen den Verantwortlichen – letztlich also gegen das Unternehmen – geltend machen kann. Greifen Mitarbeiter Ihres Unternehmens Daten für andere - eventuell sogar strafrechtsrelevante - Zwecke ab, kann der davon betroffene Kunde also direkt gegen Ihr Unternehmen vorgehen und entsprechende Ansprüche geltend machen. Die Datenschutz-Grundverordnung beinhaltet ferner ganz massive Bußgeldtatbestände: Hier können je nach Verstoß Bußgelder bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres anfallen. Für die Höhe des Bußgelds kommt es nur darauf, welcher dieser beiden Werte höher ist. Schon für leichte Verstöße kann unter Umständen ein Bußgeld in Höhe von 2 % des weltweiten Jahresumsatzes verhängt werden.

Das Datenschutzrecht bekommt daher eine neue Bedeutung in der täglichen Unternehmenspraxis. Mit der Umsetzung und Etablierung von Maßnahmen im Unternehmen, zum Beispiel in Form eines funktionierenden Datenschutz-Management-Systems, sollte nicht länger abgewartet werden. Für eine kompetente anwaltliche Beratung zu diesem Thema stehen wir Ihnen gerne zur Verfügung.

zurück zur Übersicht