EU-Datenschutz-GVO: Der Countdown läuft…
Am 25. Mai 2018 endet die Übergangsfrist für die Anwendbarkeit der bereits gültigen EU-Datenschutz-Grundverordnung (EU-DSGVO) und diese EU-weit einheitliche Rechtsnorm ersetzt ab diesem Datum das bisherige nationale Bundesdatenschutzgesetz komplett.
Zugleich tritt ein darauf beruhendes neues Bundesdatenschutzgesetz (BDSG neu) in Kraft, das die vorrangigen Regelungen der EU – DSGVO ergänzt. Bitte versäumen Sie nicht, Ihre Datenverarbeitungsprozesse sowie die entsprechenden Dokumentationen, Verträge und Vereinbarungen (insbesondere Zustimmungserklärungen zur Datenverarbeitung und -nutzung sowie zur Auftragsdatenverarbeitung) an das neue Datenschutzrecht anzupassen, um den verschärften Anforderungen zu genügen.
Wesentliche Anforderungen der EU-DSGVO bzw. des BDSG-neu sind beispielsweise
- Nachweisführung zur Einwilligung der Betroffenen zur Verarbeitung ihrer Daten
- Datentransparenz für natürliche Personen durch unentgeltliche Auskunftsrechte
- Das Recht auf Vergessen-werden und Datenübertragbarkeit
- Weitreichende Dokumentationspflichten
- Haftung und Recht auf Schadenersatz
- Meldepflichten bei Verletzungen des Schutzes personenbezogener Daten
- Pflicht zur Bestellung eines Datenschutzbeauftragten schon bei mehr als 9 Mitarbeitern
Sie sind sich unsicher, ob Sie überhaupt personenbezogene Daten verarbeiten und daher in den Anwendungsbereich fallen? Die Bestimmungen der EU-DSGVO sind z.B. bereits anwendbar, wenn Sie auch nur einen Arbeitnehmer beschäftigen. Gleiches gilt, wenn Sie Waren oder Dienstleistungen, unabhängig davon wo sich Ihr Unternehmenssitz befindet, in Deutschland anbieten. Dies bedeutet, Sie müssen nach dem 25. Mai 2018 nachweisen können, dass Ihr Unternehmen den Datenschutz einhält.
Sofern Sie bisher noch keine Anpassungen Ihrer Datenschutzkonzepte, z.B. im Bereich der Cyberkriminalität, vorgenommen haben oder gar keine Datenschutzkonzepte haben, drängt die Zeit.
Nehmen Sie bitte das Thema unbedingt ernst! Verstöße sind nun mit erheblichen Bußgeldern von bis zu EUR 20 Mio. oder des 4-fachen des jährlichen Umsatzes weltweit belegt.
Dokumentations- und Nachweis- sowie Löschungspflichten werden noch konkreter. Grundsätzlich muss jeder Verantwortliche, also der gesetzliche Vertreter, ein Verzeichnis für Verarbeitungstätigkeiten erstellen und führen bzw. erstellen und führen lassen – also auch ständig aktualisieren. Dass Sie bzw. Ihr Unternehmen unter den eng umgrenzten Befreiungstatbestand für ein solches Verzeichnis fallen, dürfte nur selten zu bejahen sein.
Besondere Vorsicht ist zudem im Umgang mit Beschäftigtendaten geboten! So sind insbesondere Gesundheitsdaten personenbezogene Daten, die einen besonderen Schutz verdienen. Haben Sie zum Beispiel Ihr Procedere zum „Umgang mit Arbeitsunfähigkeitsbescheinigungen“ sauber strukturiert und als Verfahren dokumentiert?