DSGVO_SFH_2018
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Juni <strong>2018</strong> <strong>DSGVO</strong> | DOSSIER | 5<br />
ist nahezu in jedem Unternehmen der Fall. Denn<br />
mit den Datenschutzgesetzen wird nicht nur die<br />
Verarbeitung von Kundendaten, etwa im Online-<br />
Vertrieb und für Marketing-Zwecke, erfasst.<br />
Vielmehr fallen hierunter zum Beispiel auch die<br />
Verarbeitung derjenigen Daten natürlicher<br />
Personen, die im Rahmen der Zusammenarbeit<br />
zwischen Unternehmen, etwa innerhalb eines<br />
Vertriebssystems, für das jeweilige Unternehmen<br />
tätig werden, sowie die Verarbeitung der Daten der<br />
eigenen Beschäftigten.<br />
Eine Umsetzung der geltenden datenschutzrechtlichen<br />
Vorgaben ist daher zwingend, um den<br />
scharfen Sanktionsmöglichkeiten der Aufsichtsbehörden<br />
aus dem Weg zu gehen. Nachfolgend<br />
werden ausgewählte Änderungen und Problemfelder<br />
des neuen Datenschutzrechts in einem<br />
kurzen Überblick vorgestellt.<br />
Wie teuer wird es? Haftung und<br />
Sanktionen nach der <strong>DSGVO</strong>.<br />
Das Wichtigste vorab: Die möglichen Sanktionen<br />
werden deutlich verschärft. Die <strong>DSGVO</strong> wird den<br />
Datenschutz-Aufsichtsbehörden in Zukunft die<br />
Möglichkeit geben, Bußgelder in empfindlichen<br />
Höhen zu verhängen. Das bislang geltende BDSG<br />
ließ Bußgelder bis zu einer Höhe von 300.000 Euro<br />
zu. Die <strong>DSGVO</strong> hingegen gibt den Datenschutz-<br />
Aufsichtsbehörden das nötige Werkzeug an die<br />
Hand, um bei Verstößen Strafzahlungen in einer<br />
Höhe von bis zu 20 Millionen Euro zu verhängen.<br />
Alternativ zu diesem Betrag kann die Behörde<br />
auch ein Bußgeld in Höhe von bis zu 4 Prozent des<br />
gesamten weltweit erzielten Jahresumsatzes des<br />
Unternehmens, gemessen an dem vorherigen<br />
Geschäftsjahr, verhängen. Je nachdem, welcher<br />
Betrag höher ist. Aus dieser Änderung lässt sich<br />
der Stellenwert der Daten und des Datenschutzes<br />
im 21. Jahrhundert sowie die Ernsthaftigkeit der<br />
Umsetzung der <strong>DSGVO</strong> ablesen.<br />
Wer ist betroffen?<br />
Die <strong>DSGVO</strong> verfolgt das Ziel, die Daten von natürlichen<br />
Personen zu schützen und vor ungewollter<br />
oder unrechtmäßiger Verarbeitung zu bewahren.<br />
Das Begriffspaar „personenbezogene Daten“<br />
bleibt auch unter der <strong>DSGVO</strong> so weitreichend, wie<br />
bereits aus dem deutschen BDSG bekannt. Kurz<br />
gesagt, unterfallen alle Informationen dem Schutz<br />
der <strong>DSGVO</strong>, die sich auf eine identifizierte oder<br />
identifizierbare natürliche Person beziehen. Daten<br />
über juristische Personen fallen demnach weiterhin<br />
nicht in diesen Schutzbereich.<br />
Neue und verschärfte Pflichten für<br />
das Unternehmen: Rechenschaft,<br />
Dokumentation und Folgenabschätzung<br />
Die Regelungen der <strong>DSGVO</strong> hat jedes Unternehmen<br />
(auch: „Verantwortlicher“) zu beachten, das Daten<br />
in einer Niederlassung innerhalb der EU verarbeitet<br />
sowie jedes Unternehmen, das zwar über keine<br />
Niederlassung in der Union verfügt, jedoch Waren<br />
und Dienstleistungen in der EU anbietet oder<br />
personenbezogene Daten von natürlichen Personen,<br />
die sich im Gebiet der EU befinden, verarbeitet.<br />
Das bereits bekannte Sitzland-Prinzip wird durch<br />
die <strong>DSGVO</strong> also auch um das sog. Marktortprinzip<br />
erweitert, sodass die Regelungen der <strong>DSGVO</strong><br />
ebenfalls bei der Datenverarbeitung durch außereuropäische<br />
Anbieter greifen.<br />
Unternehmen sind dazu verpflichtet, die Grundsätze<br />
der Datenverarbeitung nach der <strong>DSGVO</strong><br />
einzuhalten. Dazu zählen insbesondere die bereits<br />
nach dem BDSG bekannten Grundsätze der Rechtmäßigkeit,<br />
Transparenz und Zweckbindung der<br />
Datenverarbeitung. Neu ist hingegen, dass den<br />
Verantwortlichen hinsichtlich der Einhaltung<br />
dieser Grundsätze eine Rechenschaftspflicht<br />
(„Accountability“, Art. 5 Abs. 2 <strong>DSGVO</strong>) trifft, er also<br />
die Einhaltung der Grundsätze der <strong>DSGVO</strong> nachweisen<br />
können muss.Kann er dies nicht, drohen<br />
Sanktionen nach dem oben dargelegten Maßstab.<br />
Zudem ist der Verantwortliche dazu verpflichtet,<br />
geeignete technische und organisatorische Maßnahmen<br />
zu ergreifen, um sicherzustellen und den<br />
Nachweis dafür erbringen zu können, dass die<br />
Datenverarbeitung in seinem Unternehmen nach<br />
Maßgabe der <strong>DSGVO</strong> erfolgt. Der Nachweis einer<br />
ordnungsgemäßen Datenverarbeitung kann dem<br />
Unternehmen im Falle einer vermeintlichen<br />
Datenverletzung auch zur Exkulpation (d.h. Schuldbefreiung<br />
einer Person) dienen, wenn dadurch<br />
nachgewiesen werden kann, dass die Datenverarbeitung<br />
im Einklang mit der <strong>DSGVO</strong> erfolgte.<br />
Jedes datenverarbeitende Unternehmen wird durch<br />
die <strong>DSGVO</strong> dazu verpflichtet, ein Verzeichnis über<br />
die Verarbeitung personenbezogener Daten („Verarbeitungsverzeichnis“,<br />
Art. 30 <strong>DSGVO</strong>) zu führen.<br />
Mit einem ordentlich geführten und umfassenden<br />
Verarbeitungsverzeichnis kann zudem bereits ein<br />
Großteil der oben benannten Rechenschaftspflichten<br />
erfüllt werden. Zwar suggeriert die <strong>DSGVO</strong>,<br />
dass die Pflicht zur Führung eines Verarbeitungsverzeichnisses<br />
nur für Unternehmen mit mehr<br />
als 250 Mitarbeitern gelte. Allerdings wird diese<br />
Ausnahme zugunsten kleinerer Unternehmen nur<br />
in den wenigsten Fällen tatsächlich greifen, >>>