Mittwoch, 25. Mai 2016

EU-Datenschutz-Grundverordnung – was kommt auf den Mittelstand zu?

Selbst Tageszeitungen haben darüber berichtet: In Brüssel hat man sich auf eine EU-Datenschutz-Grundverordnung EU-DSGV geeinigt. Lesen Sie, warum die Verordnung zwar erst ab Mitte 2018 gilt, aber schon jetzt eine gewisse Beachtung verdient.


EU-weite Regelungen als Vorteil


Einheitliche Datenschutzregelungen für die gesamte EU fordern gerade exportorientierte Unternehmen schon lange. Aber auch für Verbraucher, die gern über das Internet jenseits der deutschen Grenzen einkaufen, sind einheitliche Vorgaben von Vorteil. In erstaunlich kurzer Zeit haben sich die EU-Instanzen nun auf solche EU-weiten Regelungen geeinigt. Für jedes andere Mitgliedland ist die Regelung jetzt gültig und tritt in Kraft am 25. Mai 2018 – etwas mehr als zwei Jahre nachdem sie im Amtsblatt veröffentlich wurde.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert

EU-Verordnungen wirken wie Gesetze


Das zentrale rechtliche Instrument - Die EU-Datenschutz-Grundverordnung EU-DSGV - ist nicht wie bisher nur eine Richtlinie sondern eine europäische "Verordnung" – und damit bindendes Recht in den teilnehmenden Mitgliedstaaten. Sie wirkt wie ein Gesetz. Daher gibt es keine Notwendigkeit mehr zur Anpassung in das lokale nationale Recht. Einige Länder werden dies aber höchstwahrscheinlich trotzdem tun und ihre bestehenden Datenschutzgesetze, sowie andere Gesetze in Bezug auf personenbezogene Daten, überarbeiten. Jedes Unternehmen sollte nun die verbleibende Zeit nutzen, um zu überprüfen, ob ihre aktuelle Datenverarbeitung und die Datenschutzrichtlinien und Regeln dem neuen Gesetz entsprechen.

Das war bei der EG-Datenschutzrichtlinie EU-DSGV von 1995 anders, die bisher die maßgebliche EU-Regelung für den Datenschutz darstellte. Diese hatte für sich allein keine rechtliche Wirkung für Unternehmen und Privatpersonen. Die erforderliche Umsetzung im Recht der Mitgliedstaaten geschah erst mit jahrelanger Verzögerung.

Übergangsfrist bis Mai 2018


Bei der EU-Datenschutz-Grundverordnung EU-DSGV wird es anders ablaufen. Anfang Mai 2016 wurde sie im Amtsblatt der EU veröffentlicht. Nun läuft eine Übergangszeit von zwei Jahren. Und dann gilt die Verordnung ab dem 25. Mai 2018 über Nacht in vollem Umfang für alle Unternehmen und Privatpersonen innerhalb der EU.

Folge dadurch: „Fallbeileffekt“


Dieser „Fallbeileffekt“ wird alle Unternehmen dazu zwingen, sich bis Mitte 2018 zunehmend stärker auf die Verordnung vorzubereiten. Wundern Sie sich also nicht, wenn demnächst viele Informationen im Unternehmen gesammelt werden müssen, obwohl die Verordnung streng rechtlich gesehen noch gar nicht gültig ist. Zu den Vorgaben der Grundverordnung gehört es nämlich, dass Unternehmen in vielerlei Hinsicht zusätzliche Dokumente erstellen müssen. So müssen sie etwa nachweisen, dass sie erforderliche technische Schutzmaßnahmen bei der Datenverarbeitung und bei der Auftragsdaten-Verarbeitung tatsächlich einhalten.

Extrem hohe Bußgelder möglich


Unabhängig wie hoch die (Geld-)strafen in der alten nationalen Gesetzgebung waren, die in der EU-DSGVO verankerten Strafen sind wirklich immens. So hoch, dass, wenn sie einer kleinen bis mittelgroßen Firma auferlegt werden, existenzbedrohend sein können. „Schlampereien“ können da teuer zu stehen kommen. Im Extremfall sind nämlich Bußgelder bis zu 20 Millionen Euro und 4% des weltweiten Umsatzes des Unternehmens möglich.

Das Bundesdatenschutzgesetz legt dagegen für Bußgelder bisher noch eine Obergrenze von 300.000 Euro fest. Der Vergleich der beiden Beträge zeigt deutlich, wie sehr die Zügel angezogen werden. Bitte haben Sie also Verständnis dafür, wenn notwendige Unterlagen auch einmal etwas drängend angefordert werden. Nur so lässt sich möglicher Schaden vom Unternehmen abwenden.

Mehr Datenschutzbeauftragte in der gesamten EU


Nichts ändert sich übrigens daran, dass es einen betrieblichen Datenschutzbeauftragten geben muss. Die Einzelheiten dafür, wann dies erforderlich ist, überlässt die Verordnung zwar weiterhin dem Recht der Mitgliedstaaten. Für Behörden schreibt sie jedoch europaweit behördliche Datenschutzbeauftragte vor. Für Unternehmen gilt dies dann, wenn es bei ihren Kernaktivitäten um die regelmäßige und systematische Beobachtung von Betroffenen geht oder um besonders sensible Daten. Zumindest im Personalbereich hat jedes Unternehmen solche besonders personenbezogenen Daten. Also braucht jedes Unternehmen einen Datenschutzbeauftragten. Außerdem brauchen Auftragsdatenverarbeiter künftig ganz selbstverständlich einen Datenschutzbeauftragten - unabhängig von der Größe.

Einwilligungen von Kunden gelten weiter


Für die Praxis wichtig: Einwilligungen von Kunden, die bereits vorliegen, wenn die Verordnung Mitte 2018 gültig wird, bleiben auch danach wirksam! Bedingung ist nur, dass sie unter Beachtung der Vorgaben des bisherigen Rechts eingeholt wurden. Beachten Sie also weiterhin peinlich genau das geltende Recht, wenn eine Einwilligung erfolgt! Das macht sich bezahlt, wenn die neue Verordnung ab Mai 2018 gilt.

Betriebsvereinbarungen bleiben in Kraft


Auch Betriebsvereinbarungen zum Datenschutz bleiben unverändert in Kraft. Eine entsprechende Klarstellung konnte bei den Verhandlungen in Brüssel erreicht werden. Es ist also nicht notwendig, wegen der EU-Datenschutz-Grundverordnung EU-DSGV bewährte Betriebsvereinbarungen neu zu verhandeln.
Anpacken statt abwarten!

Insgesamt gesehen wird es notwendig sein, die EU-Datenschutz-Grundverordnung EU-DSGV bis Mitte 2018 mehr und mehr zu berücksichtigen. Nur so lässt sich vermeiden, dass dann alles Mögliche sozusagen „über Nacht“ neu gestaltet werden muss. Wann gehen wir das Thema Datenschutz gemeinsam in Ihrem Unternehmen an?

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.