Ab Mai 2018 gelten wichtige Änderungen im Datenschutz, sowohl für Privatpersonen als auch für Behörden und Unternehmen.
© Foto: fotolia

Jetzt an Datenschutz denken!

Neue Verordnung wird im Mai 2018 in Kraft treten: Unternehmer sollten sich Gedanken machen

News

Hohe Bußgelder drohen bei Verstößen

Aachen. Alles neu macht der Mai. In diesem Fall der 25. Mai 2018. Denn zu diesem Zeitpunkt tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Hinter diesem etwas sperrigen Begriff verbirgt sich nicht nur ein sehr langwieriges europäisches Gesetzgebungsvorhaben, sondern viele wichtige Änderungen im Datenschutz, sowohl für Privatpersonen, Behörden und natürlich auch Unternehmen, das heißt auch Handwerksbetriebe.

Diese Änderungen waren jedoch notwendig, denn die bisherigen Datenschutzregeln auf europäischer Ebene stammen von 1995, also aus einer Zeit, in der das Internet kaum verbreitet und beispielsweise „Social Media“ noch völlig unbekannt war.

Der EU-Gesetzgeber hat sich dazu entschlossen, diese Thematik per Verordnung zu regeln, mit Vorgaben, die unmittelbar für und in allen Mitgliedsstaaten gelten, um einer Zersplitterung des Datenschutzrechts Einhalt zu gebieten, zumal gerade Daten nicht an Grenzen haltmachen.

Welche wichtigen Neuerungen gibt es nun für die Betroffenen?

  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Datenschutzfolgeabschätzung
  • Informationspflichten gegenüber Betroffenen
  • Pflicht zur Löschung von Daten
  • Datenübertragbarkeit
  • erhöhte Bußgelder

Bis zum 25. Mai 2018 ist doch noch viel Zeit. Oder? Ein Jahr bis zum Inkrafttreten der EU-Datenschutzgrundverordnung und entsprechender Anpassungs- und Begleitgesetze mag vom heutigen Tag als langer Zeitraum erscheinen. Allerdings muss Änderungsbedarf im Betrieb festgestellt werden, es müssen geeignete Maßnahmen getroffen werden, diese Änderungen umzusetzen, und die Prozesse müssen ab 25. Mai 2018 funktionieren. Insofern sollte man mit den Überlegungen zur betrieblichen Anpassung schon jetzt beginnen.

Was kommt auf Betriebe zu?

Benennung eines betrieblichen Datenschutzbeauftragten: Bisher war es so, dass ein Datenschutzbeauftragter bei nicht-öffentlichen Stellen, das heißt bei Privatunternehmen, nur bestellt werden musste, wenn im Betrieb ständig mehr als neun Personen mit der automatisierten Verarbeitung von Daten beschäftigt waren.

Nach der EU-DSGVO (Art. 37) ist dies zusammengefasst nun der Fall, wenn die Kerntätigkeit des Verantwortlichen, das heißt des Datenverarbeiters, im Bereich der Datenverarbeitung, speziell der Verarbeitung von besonders sensiblen Daten liegt. Dies dürfte bei Handwerksbetreiben in der Regel nicht der Fall sein, so dass keine generelle Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht. Insofern wird es wohl hier gegenüber der bisherigen Rechtslage keinen verstärkten Handlungsbedarf für Handwerksbetriebe geben.

Speicherung: Zu diesem Thema sollten sich Unternehmer Gedanken machen. Der EU-Gesetzgeber sieht in der EU-DSGVO eine sogenannte Datenschutzfolgeabschätzung vor der Einführung neuer Verarbeitungsformen vor. Grundsätzlich ist das zwar nur bei sehr risikoreichen Datenverarbeitungen vorgeschrieben, zum Beispiel dem sogenannten Scoring bei Kreditvergaben. Trotzdem sollte jeder Datenverarbeiter sich vorher Gedanken darüber machen, warum welche Daten zu welchem Zweck wie lange gespeichert werden. Es ist sinnvoll, diese Überlegungen zu dokumentieren. Einfach „ins Blaue“ hinein neue Verarbeitungsvorgänge einzuführen, ist nicht (mehr) angebracht.

Stärkung der Rechte des Betroffenen: Ein Kernelement der EU-DSGVO ist die Stärkung der Rechte des Betroffenen, das heißt der Person, deren Daten verarbeitet werden. Grundsätzlich sollte man sich als Verarbeiter merken, dass die Daten, die verarbeitet werden, der betroffenen Person gehören und nicht dem Verarbeiter. Mit dieser Einstellung erklären sich viele Forderungen aus der EU-DSGVO fast von selbst.

Ganz wichtig ist, dass eine Datenverbeitung nur dann zulässig ist, wenn der Betroffene eingewilligt hat oder eine besondere gesetzliche Erlaubnis besteht. Dies ist nichts grundlegend Neues, der EU-Gesetzgeber betont aber den Vorrang der Einwilligung.

Ferner sind Daten, wenn möglich, immer direkt beim Betroffenen zu erheben, nicht über Drittquellen. Über diese Datenerhebung ist der Betroffene auch zu informieren.  Sind einmal erhobene Daten zur Erfüllung der Aufgabe der speichernden Stelle nicht mehr erforderlich, werden sie also nicht mehr gebraucht, dann sind die Daten zu löschen. Eine „Vorratsdatenspeicherung“ nur mal so darf es nicht geben. Natürlich kann man eine entsprechende Einwilligungserklärung des Betroffenen so abfassen, dass Daten auch längerfristig gespeichert werden dürfen. Auch hier zeigt sich die Bedeutung der Einwilligung.

Zukünftig ist die speichernde Stelle auch verpflichtet, dem Betroffenen die gespeicherten Daten, wenn er mit diesen „umziehen“ will, in einem maschinenlesbaren Format zur Verfügung zu stellen oder auf Wunsch an eine andere Stelle zu übermitteln. Dies könnte zum Beispiel bei einem Wechsel von einem Telekommunikationsanbieter zu einem anderen der Fall sein.

Was passiert bei Verstößen?
Es kann teuer werden. Deutlich teurer als zuvor. Vor dem Hintergrund einiger großer Datenschutzskandale hat der EU-Gesetzgeber die möglichen Bußgelder bei Datenschutzverstößen drastisch erhöht. Künftig können Bußgelder von bis zu 20 Millionen Euro beziehungsweise bis zu 4 Prozent des weltweit erzielten Jahresumsatzes verhängt werden. An diesen Größenordnungen lässt sich erkennen, dass der Gesetzgeber hier an internationale Großkonzerne gedacht hat. Trotzdem kann man daraus ableiten, dass der Gesetzgeber Verstöße gegen das Datenschutzrecht deutlich stärker ahnden will.