Blog Veröffentlichung

Alles neu im Datenschutz? – Herausforderung für den Mittelstand

Am 25.5.2016 ist die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten, ab dem 24. Mai 2018 ist sie anzuwenden.
Die DS-GVO gestaltet den Datenschutz in der EU grundlegend neu. Auch wenn häufig die Bußgelder als die Neuerung schlechthin genannt werden, ist das nicht zutreffend.
Die grundlegende Änderung ist die Einführung umfassender Dokumentations- und Organisationspflichten.
Was zulässig ist, bleibt nicht automatisch zulässig!
Die DS-GVO regelt weiterhin die Frage, wann eine Verarbeitung personenbezogener Daten zulässig ist. Es bleibt auch bei dem Grundsatz, dass die Verarbeitung unzulässig ist, es sei denn, es liegt eine Einwilligung der betroffenen Person vor oder eine gesetzliche Regelung gestattet die Verarbeitung.
Auf den zweiten Blick zeigt sich aber, dass sich die gesetzlichen Zulässigkeitsregelungen und auch die Anforderungen an eine Einwilligung geändert haben. Beachten Sie: Das bedeutet zwar nicht, dass alles zwingend unzulässig wird, aber was zulässig bleibt, weiß man erst nach der Prüfung.
Das deutsche Datenschutzrecht war bisher in erster Linie von gesetzlichen Regelungen geprägt, die über die Zulässigkeit und Unzulässigkeit der Verarbeitung entschieden. Daher wurde auch den Änderungen in diesen Bereichen durch die DS GVO zunächst und primär Beachtung geschenkt. Die eigentlichen grundlegenden Neuerungen liefen daher zunächst Gefahr, übersehen zu werden.

Beachten Sie: Auch wenn das dominierende Thema im Datenschutzrecht bisher die Zulässigkeit war, dürfen dadurch die neuen Anforderungen der DS-GVO in anderen Bereichen nicht übersehen werden.

Grundlegender – weil im BDSG bisher nicht vorgesehen – sind die neuen Anforderungen an Dokumentation und Organisation. Die DS-GVO folgt dem Ansatz „Datenschutz durch Dokumentation und Organisation“.

Ausrichtung des Datenschutzes auf Dokumentation und Organisation

Die DS-GVO misst der Dokumentation und Organisation des Datenschutzes im Unternehmen einen grundlegenden Stellenwert bei. Das Bußgeldrisiko der DS-GVO schlummert darin, diese Neuerung zu übersehen. Denn wird gegen die Pflichten zur Dokumentation und Organisation verstoßen, kann ein Bußgeld verhängt werden, auch wenn die Verarbeitung der personenbezogenen Daten zulässig ist.

Das sind die 4 wichtigsten Dokumentation- und Organisationspflichten der DS-GVO

  • Die DS-GVO sieht eine Vielzahl von Dokumentations- und Organisationspflichten vor. Vier rücken dabei in den Vordergrund, weil sie grundsätzlich für alle Verarbeitungen zu beachten sind:
    Das Unternehmen muss durch Dokumentation nachweisen, dass es die Vorgaben der DS-GVO eingehalten hat. Art. 5 Abs. 2 DS-GVO nimmt mit dieser Rechenschaftspflicht die Grundsätze in Art. 5 Abs. 1 DS-GVO in Bezug.
  • Durch dokumentierte Maßnahmen muss ebenfalls sichergestellt sein, dass der umfangreiche Katalog der betroffenen Rechte erfüllt werden kann (Art. 12 DS-GVO). Damit sind von dieser Organisationspflicht auch die proaktiven Auskunftspflichten nach Art. 13, 14 DS-GVO erfasst. Die DS-GVO zwingt damit den Verantwortlichen dazu sicherzustellen, dass die erforderlichen Informationen zusammengestellt und der betroffenen Person mitgeteilt werden können.
  • Das Unternehmen muss durch nachweisbare Maßnahmen die Einhaltung des Datenschutzrechts sicherstellen (Art. 24 DS- GVO). Im Ergebnis wird damit eine Pflicht zur Organisation des Unternehmens geschaffen.
  • Durch Art. 30 DS-GVO ist der Verantwortliche und in gewissem Umfang auch der Auftragsverarbeiter zum Führen eines Verzeichnisses über Verarbeitungstätigkeiten verpflichtet. Es gibt zwar eine Ausnahmeregelung. Diese wird in der Praxis aber kaum zum Tragen kommen.

Machen Sie sich das deutlich

Die DS-GVO will die Unternehmen dazu zwingen, sich mit der Datenverarbeitung auseinanderzusetzen. Das ist eine wesentliche Veränderung zum bisherigen BDSG und durch die DS-GVO sehr wohl gewollt. Das zeigt sich auch darin, dass allein schon der Verstoß gegen die vorgenannten Dokumentations- und Organisationspflichten zu Bußgeldern und zur Haftung führen kann, und nicht nur die rechtswidrige Verarbeitung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.