Wichtige Änderungen im Datenschutz ab Mai 2018
Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 werden die bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) ersetzt. Relevanz erfährt die Verordnung insbesondere durch die potenziell hohen Bußgelder von bis zu € 20 Millionen beziehungsweise bis zu 4 % des weltweiten Konzernumsatzes.
Eine der größten Herausforderungen ist es, den Datenschutz nicht mehr nur zu gewährleisten, sondern ihn nachweisen zu können. Waren bislang die Aufsichtsbehörden in der Beweispflicht, so sind nun die Unternehmen zur Nachweisführung und damit zur umfangreichen Dokumentation verpflichtet. Diese Rechenschaftspflicht kann u.a. durch Compliance-/ Datenschutzaudits erfüllt werden; Basis bildet dabei das Verzeichnis von Verarbeitungstätigkeiten, welches dem Verfahrensverzeichnis des BDSG entspricht (Art. 30 DSGVO).
Ebenfalls hervorzuheben sind die gestiegenen Informationspflichten gemäß Art. 13 f. DSGVO. Hier sind die Betroffenen umfassend und verständlich über die Datenverarbeitung zu informieren. Dies und andere Themen wie das „Recht auf Vergessenwerden“ zeigen auf, dass spätestens jetzt die Zeit für ein strukturiertes Datenschutzmanagement angebrochen ist.
In das Datenschutzmanagementsystem ist die sogenannte Datenschutz-Folgenabschätzung aufzunehmen (Art 35 DSGVO). Diese Risikoanalyse der Verfahren, bei denen voraussichtlich ein hohes Risiko für die Betroffenen besteht, ist essentiell, um Prioritäten zu setzen und konkrete Maßnahmen umzusetzen. Auch hier gilt wieder: Die Dokumentation ist unabdingbar.
Des Weiteren ist eine Frist von 72 Stunden für Meldungen an die Aufsichtsbehörde zu beachten, nahezu bei jeder Datenschutzverletzung. Die Regelung ist deutlich strenger als bisher.
Neben den neu umzusetzenden Vorgaben sind bisher datenschutzkonforme Einwilligungen, Internetauftritte und Formulare oder auch Auftragsdatenverarbeitungsverträge (ADV-Verträge) auf Compliance zu prüfen.
Die technisch-organisatorischen Maßnahmen werden vereinheitlicht und sind in Art. 25, 32 DSGVO aufgeführt. Hier sind Zutritt, Zugang und Zugriff einzuschränken sowie die Weitergabe, Verfügbarkeit und Protokollierung der Datenverarbeitung sicherzustellen. Unterstützt wird der Maßnahmenkatalog von den Prinzipien Privacy by Design – Datenschutz bei Systemimplementierung berücksichtigen – sowie Privacy by Default, den datenschutzfreundlichen Einstellungen, explizit auch Verschlüsselung und Pseudonymisierung.
Neben der DSGVO wird es zukünftig weiterhin eine nationale Ergänzung geben, in Deutschland ist dies das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU, auch unter BDSG-neu bekannt) relevant. In diesem werden nationale Gestaltungsspielräume genutzt. Zudem wird bis zum 25.05.2018 eine E-Privacy-Verordnung verfasst, welche mit der DSGVO in Kraft treten wird.
Zusammenfassend lässt sich festhalten, dass es zahlreiche – meist kleine – Anpassungen gibt, welche zeitnah umgesetzt werden sollten, um die Sanktionsgefahr zu minimieren.
Gerne unterstützen wir Sie bei der Umsetzung einer für Sie passenden Lösung.