Datenschutz im Unternehmen

Die EU-Datenschutz-Grundverordnung kommt.
Gültig ab 25. Mai 2018.

Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist am 24. Mai 2016 in Kraft getreten und ersetzt damit die Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995. Sie soll den Grundrechtsschutz und Datenschutz aller EU-Bürger stärken und nimmt Unternehmen dafür in die Pflicht, um sensible personenbezogene Daten angemessen zu schützen.

Was ist die DSGVO?

Die Datenschutzgrundverordnung (2016/679/EU) wurde am 8. April 2016 vom EU-Rat und am 14. April 2016 vom EU-Parlament angenommen. Seit 24. Mai 2016 ist sie direkt geltendes Recht und mit einer kurzen Übergangszeit ab dem 25. Mai 2018 umzusetzen. Dann wird die Verordnung zum neuen, europaweit gültigen Datenschutzrecht und entfaltet ohne weitere Übergangsfrist uneingeschränkt ihre Wirkung. Die bisherige Datenschutzrichtlinie aus dem Jahr 1995, die von den 28 EU-Mitgliedsstaaten auf unterschiedliche Weise durchgesetzt wurde, verliert damit zugunsten einer einheitlichen Regelung ihre Gültigkeit.

Die DSGVO betrifft alle Unternehmen, die in der Europäischen Union eine Niederlassung haben und Kunden- bzw. Mitarbeiterdaten verarbeiten, unabhängig von ihrer Größe und Branche. Die Regelungen des Datenschutzes sind grundsätzlich anzuwenden, sobald personenbezogene Daten verarbeitet werden. Eine teilweise Anwendung des Datenschutzrechts gibt es nicht. Zudem drohen mit Inkrafttreten der DSGVO hohe Bußgelder für Datenschutzverstöße, die ausdrücklich abschreckende Wirkung haben sollen. Weiterhin erfasst die Haftungsnorm der DSGVO auch immaterielle Schäden wie z.B. Schmerzensgeld. Neu ist die erweiterte Haftung für Auftraggeber wie Auftragsnehmer.

Was beinhaltet die DSGVO?

Die Datenschutzgrundverordnung verfolgt mehrere Ziele. Dazu gehören:

  • die Schaffung eines einheitlichen Datenschutzniveaus in allen EU-Mitgliedsstaaten,
  • die Modernisierung des Datenschutzes angesichts rasanter technischer Entwicklungen und
  • die Verbesserung des Grundrechtsschutzes.

Die erste Zielsetzung wird bereits durch die Wahl des Rechtsaktes einer Verordnung erreicht, die europaweit Bestand hat. Verordnungen können – anders als z.B. "Richtlinien" wie die bislang geltende Datenschutzrichtlinie – eine unmittelbare Wirkung ohne die Mitwirkung der nationalen Gesetzgeber entfalten. Auch US-amerikanische IT-Unternehmen müssen künftig mehr Rücksicht auf europäisches Datenschutzrecht nehmen, da die Regelungen der DSGVO auch auf Unternehmen Anwendung finden, die innerhalb der EU zwar keine Niederlassung haben, hier aber trotzdem Produkte und Dienstleistungen anbieten.

Was ändert sich durch die DSGVO?

Zu den wesentlichen Änderungen der neuen Verordnung gehören:

  • Das Recht, zu erfahren, ob eigene Daten gehackt wurden: Unternehmen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für die betroffenen Bürger entstanden ist.
  • Stärkere Durchsetzung der Vorschriften: Datenschutzbehörden können Geldstrafen gegen Unternehmen verhängen, die gegen EU-Vorschriften verstoßen.
  • Ein Kontinent, ein Recht: das einheitliche europäische Datenschutzrecht ersetzt die verschiedenen Gesetze der Mitgliedstaaten.
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Datenschutzgarantien werden künftig frühzeitig in die Entwicklung von Erzeignissen und Dienstleistungen integriert; datenschutzfreundliche Voreinstellungen werden zur Norm.


Damit verbunden sind neue Anforderungen an Unternehmen, unter anderem:

  • die Beweislast zur Einhaltung der neuen Datenschutzgrundsätze,
  • eine erweiterte Dokumentationspflicht,
  • erweiterte Transparenzvorschriften und Informations- sowie Meldepflichten bei Datenschutzverletzungen,
  • neue Anforderungen an die Datensicherheit und die Technik.

Was bedeutet das für Unternehmen?

Mit dem gestärkten Datenschutz werden Unternehmen in die Pflicht genommen, sensible personenbezogene Daten angemessen zu schützen. Diese werden definiert als "alle Informationen über eine bestimmte oder bestimmbare natürliche Person (...), die direkt oder indirekt identifiziert werden kann." (Verordnung EG Nr. 45/2001). Damit werden auch Informationen abgedeckt, die lediglich indirekt auf Individuen verweisen. Unternehmen sind unter Berücksichtigung des Stands der Technik verpflichtet, alle personenbezogenen Daten angemessen zu verschlüsseln, die Sicherheit der Verschlüsselungssysteme auf Dauer sicherzustellen und die Maßnahmen zur Wiederherstellung verschlüsselter Daten zu dokumentieren. zudem obliegt den Unternehmen eine Meldepflicht, wenn gegen den Schutz personenbezogener Daten verstoßen wurde.

Die Verordnung fordert von Unternehmen die Implementierung neuer Prozesse und Strategien, um Individuen mehr Kontrolle über ihre persönlichen Daten zu geben. Für einige bedeutet das, dass neue Prozesse definiert, Handbücher umgeschrieben, Mitarbeiter geschult und Systeme aktualisiert werden müssen. Hinzu kommen praktische Maßnahmen wie die Einführung von Verschlüsselungstechnologien zum Schutz sensibler Daten.

Die EU-DSGVO bringt erhebliche Pflichten für Unternehmen mit sich, deren rechtzeitige und angemessene Umsetzung gewährleistet sein muss. Zugleich muss der Datenschutzbeauftragte das erforderliche Fachwissen zur Anwendung der neuen Aufgaben beherrschen. Die professionelle Umsetzung der neuen Datenschutzgrundverordnung ist komplex und anspruchsvoll.

Das mobilplus Systemhaus bietet Ihnen einen effektiven Weg, diesen Anforderungen gerecht zu werden: Unser Datenschutzbeauftragter berät Sie umfassend zur Einführung der EU-Datenschutzgrundverordnung und erstellt Ihnen gern ein individuelles Angebot unter anderem zum Einsatz von Verschlüsselungslösungen, damit Ihr Unternehmen in Zukunft in vollem Umfang allen gesetzlichen Anforderungen entspricht.

Ihr Ansprechpartner

Tony Nobst
geprüfter Datenschutz-
beauftragter

Kontakt

Datenschutzbeauftragter
Tel.: +49 (0) 35204 270-312
Fax: +49 (0) 35204 270-3032
E-Mail: dsb@mobilplus.de