Recht und Steuern

EU-Datenschutz-Grundverordnung

Beim Datenschutz gelten bald neue Regeln
Seit dem 25. Mai 2016 ist die neue EU-Datenschutz-Grundverordnung in Kraft. Nach der Übergangszeit von zwei Jahren muss die Verordnung auch in den deutschen Unternehmen ab dem 25. Mai 2018 angewandt werden.
Ziel der Verordnung ist es, europaweit ein einheitliches Datenschutzniveau zu erreichen. Für bestimmte Bereiche wie den Beschäftigtendatenschutz oder den betrieblichen Datenschutzbeauftragten lässt die Verordnung – im Rahmen von Öffnungsklauseln – den einzelnen Mitgliedstaaten die Möglichkeit nationaler Regelungen. Aus diesem Grund hat der Deutsche Gesetzgeber das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) beschlossen. Dieses Gesetz tritt am gleichen Tag wie die DS-GVO, dem 25. Mai 2018, in Kraft und löst unser bisheriges Bundesdatenschutzgesetz (BDSG) ab.
Mit der DS-GVO wird der Datenschutz nicht neu erfunden. Grundsätzlich bleibt es bei den bisherigen Grundsätzen wie dem Grundsatz der Datenvermeidung, der Datensparsamkeit oder dem Verbotsprinzip mit Erlaubnisvorbehalt. Viele Begriffe der Verordnung sind mit denen im BDSG identisch. Trotzdem ist noch konkret zu klären, wie der jeweilige Begriff aus Sicht der DS-GVO zu verstehen ist.
Zu den wesentlichen Neuerungen gehört die Einführung des Marktortprinzips. Das bedeutet, dass auch Unternehmen, die ihren Sitz außerhalb der EU haben, aber Daten von EU-Bürgern für Dienstleistungen in der EU verarbeiten, sich an die DS-GVO halten müssen. Außerdem wird die Auftragsdatenverarbeitung einheitlich geregelt und angepasst.
Weiter werden die Rechte der Betroffenen, wie zum Beispiel die Informationsrechte, beim Abhandenkommen der Daten gestärkt, ebenso wie das „Recht auf Vergessen werden“ und ein Schadensersatzspruch gegen den Auftragsverarbeiter. Ferner gibt es ein Recht auf Datenportabilität, also die Möglichkeit, personenbezogene Daten von einem Verarbeiter zu einem anderen zu übertragen.
Für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, wird der One-Stop-Shop-Mechanismus eingeführt. Für diese Unternehmen kommt es zu einer Vereinfachung ihrer datenschutzrechtlichen Angelegenheiten, denn bei grenzüberschreitenden Datenverarbeitungen wird nur eine Aufsichtsbehörde am Hauptsitz des Unternehmens zuständig sein. Überdies werden auch die Dokumentations-, Datensicherungs- und Meldepflichten sowie die Sanktionen bei Datenschutzverstößen deutlich verschärft.
Je nachdem, gegen welche Norm verstoßen wird, muss mit Bußgeldern von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Vorjahresumsatzes oder mit bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Vorjahresumsatzes gerechnet werden. Dabei gilt als Unternehmen jede eine wirtschaftliche Tätigkeit ausübende natürliche oder juristische Person, unabhängig von ihrer Rechtsform. Gerade auch im Hinblick auf die hohen Strafen bei Verstößen gegen den Datenschutz sollten die Unternehmen - besonders auch die kleineren und mittelständischen - sich genau mit den neuen Anforderungen befassen und Anpassungen vornehmen.
Die IHK Aschaffenburg bietet Vorträge zum Thema EU-Datenschutz-Grundverordnung an. Details  zu den Veranstaltungen finden Sie hier.