Bundestag verabschiedet Neuerungen beim Datenschutz

Am 27. April 2017 hat der Bundestag ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet. Damit setzt der Gesetzgeber die Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) um, die ein einheitlich hohes Datenschutzniveau in den Mitgliedsländern der Europäischen Union schaffen soll. Die neuen Regelungen treten am 25. Mai 2018 in Kraft.

Trotz der gleichlautenden Bezeichnung und dem Bemühen des Gesetzgebers um Kontinuität hat das neue BDSG nur noch wenig mit seinem Vorgänger gemeinsam. Zwar gilt Deutschland als Vorreiter bei Datenschutzfragen, dennoch ist die Erfüllung der zahlreichen Detailverpflichtungen eine Herausforderung für Unternehmen. Zudem drohen bei Nichtbeachtung empfindliche Geldbußen von bis zu 20 Mio. EUR oder bis zu 4 % des globalen Umsatzes.

Dr. Christian Lenz, Rechtsanwalt und Datenschutzbeauftragter vom Bonner Beratungsunternehmen dhpg, nimmt Stellung zum Gesetz: „Wir empfehlen, sich schon jetzt intensiv mit der DSGVO und ihrer Umsetzung auseinanderzusetzen. Durch den massiv erweiterten Bußgeldrahmen und die umfangreichen Dokumentationspflichten dürften Datenschutzverstöße künftig empfindlich geahndet werden. Zudem ist der verbleibende Umsetzungszeitraum von rund einem Jahr knapp bemessen für einen Veränderungsprozess eines solchen Umfangs – unter Umständen muss die gesamte Datenschutz-Struktur verändert werden. Unternehmen und öffentliche Stellen sind daher gut beraten, schon jetzt eine Lückenanalyse durchzuführen, um darauf aufbauend eine geeignete und den Compliance-Anforderungen genügende Datenschutz-Struktur zu schaffen.“

Mit einem stringenten Plan und Checklisten können sich Unternehmen und öffentliche Stellen auf die kommenden Herausforderungen durch das neue Datenschutzrecht vorbereiten.

Dr. Lenz: „Wir empfehlen hierfür einen Zeitraum von wenigstens 6 Monaten. Von der Initiierung, Planung, Zielbild- und Lückenanalyse, Maßnahmenbestimmung bis hin zur Umsetzung kann innerhalb dieses Zeitrahmens eine Datenschutzorganisation aufgebaut oder weiterentwickelt werden. Natürlich sollte dies im Verhältnis zur Unternehmensgröße stehen, gerade im Mittelstand. Hier können mit Outsourcing und externen Beratungsleistungen Ressourcen geschont werden.“

Die sieben wichtigsten Neuerungen im Rahmen der EU-DSGVO hat die dhpg in einer Checkliste zusammengefasst:

7 zentrale Neuerungen beim Datenschutz: Was Unternehmen nun beachten müssen

1. Datennutzung:
Zunächst wurde nochmals festgeschrieben, dass personenbezogene Daten nur nach einer Einwilligung oder gesetzlichen Grundlage genutzt werden dürfen.

2. Datensicherheit:
Unternehmen werden verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu treffen und diese zu dokumentieren.

3. Recht auf Vergessen werden:
Unternehmen müssen Daten löschen, wenn die Betroffenen dies wünschen. Hier bedarf es – wie auch für andere Betroffenenrechte (Auskunftsrechte etc.) – entsprechender organisatorischer Vorkehrungen in den Unternehmen.

4. Dokumentation der Organisation:
Unternehmen sind angehalten, die zum Schutz der Daten geschaffene Organisation und risikomindernden Maßnahmen sowie die zugrunde liegenden Rechtsgrundlagen zu dokumentieren. Zudem muss jedes Unternehmen die Datenschutzziele wie Datenvermeidung, Transparenz der Verarbeitung und Zweckbindung nachweisbar verfolgen. Das Verzeichnis der Verarbeitungstätigkeiten ist das Kernstück der Dokumentation.

5. Datenschutz-Folgenabschätzung:
Für kritische Datenverarbeitungen – und das sind fast alle – muss vor der Verarbeitung detailliert dargestellt werden, auf welcher Grundlage die Verarbeitung erfolgt und wie die Risiken zu bewerten sind.

6. Reaktion auf Datenpannen:
Die Aufsichtsbehörde ist bei Hackerangriffen oder Datenpannen innerhalb von 72 Stunden zu informieren. Ebenso muss die betroffene Person unverzüglich informiert werden. Hierfür bedarf es organisatorischer Vorkehrungen.

7. Empfindliche Bußgelder:
Bei Nichtbeachten drohen empfindliche Bußgelder bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes im gesamten Konzern.