Das Thema Datenschutz ist bisher in sehr vielen Unternehmen nur sehr stiefmütterlich behandelte worden. Wenn überhaupt, haben sich viele Unternehmen nur am Rande mit diesem Thema auseinandergesetzt. Oft bewegten sich die Unternehmen "unter dem Radar" der jeweiligen datenschutzrechtlichen Aufsichtsbehörden. Ist es hier dennoch zu Datenschutzpannen, also Verstößen gegen die Datenschutzbestimmungen, gekommen, sind diese von den Aufsichtsbehörden nur mit kleineren Bußgeldern geahndet worden.
Ab dem 25.05.2018 wird damit allerdings nun Schluss sein. Ab dann tritt die europaweit geltende Datenschutz-Grundverordnung (DSGVO) in Kraft. Das "neue" / aktualisierte Bundesdatenschutzgesetz (BDSG -neu) ergänzt die DSGVO ab dann, d.h. ergänzt diese, wo die DSGVO Gestaltungsspielräume offen lässt.
Die Bedeutung der DSGVO für Unternehmen
Zwar ist die Datenschutz-Grundverordnung (DSGVO) bereits vor 2 Jahren in Kraft getreten. Doch gilt diese nun auch in Deutschland ab dem 25. Mai 2018 unmittelbar. Mit der DSGVO soll in Europa ein einheitliches Datenschutzrecht geschaffen werden. Damit sollen die persönlichen Daten der in der EU lebende Verbraucher besser vor Missbrauch geschützt werden. Sämtliche Unternehmen mit Sitz / Niederlassung in der EU und so manch außereuropäisches Unternehmen haben sich dann an den EU-weiten einheitlichen Datenschutz zu halten.
Mögliche Bußgelder und Sanktionen
Hierbei gelten nach der DSGVO als personenbezogene Daten nicht nur Namen, Telefonnummern und Adressen, sondern auch IP-Adressen. Letzteres hat der Europäische Gerichtshof (EuGH) kürzlich bestätigt. Hieraus folgt beispielsweise, dass jede Unternehmenswebseite eine Datenschutzerklärung haben muss. Verstoßen Unternehmen und Onlineshops etc. gegen die Datenschutzgrundverordnung, können nun Bußgelder und Geldstrafen in Höhe von 10 bis 20 Millionen Euro oder zwei bis vier Prozent des weltweiten Vorjahres-Umsatzes durch die Aufsichtsbehörden verhängt werden. Bisher waren es lediglich 50.000,00 Euro bis 300.000,00 Euro.
Daher sollten Unternehmen ihre innerbetrieblichen Datenschutz-Maßnahmen unbedingt überprüfen und rasch verbessern. Geboten ist hiebei insbesondere, Datenschutzerklärungen auf Firmenhomepages vorzuhalten und/oder im Hinblick auf die EU-DSGVO anzupassen. Bisherige Datenschutzerklärungen werden in der Regel nicht mehr den neuen Anforderungen der DSGVO genügen, so dass hier Handlungsbedarf besteht.
Rechenschaftspflicht und Datenschutzbeauftragter
Besonders ärgerlich dürfte die Rechenschaftspflicht nach Art. 5 Abs. 2 EU-DSGVO für die Unternehmen sein. Gegenüber der zuständigen Aufsichtsbehörde müssen Unternehmen nun nachweisen können, dass sie die Datenschutzbestimmungen eingehalten haben. Gemäß den Art. 35 ff. DSGVO müssen sie einen fachlich qualifizierten Datenschutzbeauftragten bestellen und gegenber der Aufsichtsbehörde melden, wenn sie mehr als 9 Mitarbeiter mit der elektronischen Datenverarbeitung beschäftigen. Im Hinblick auf Computerarbeitsplätze ist das sehr schnell erreicht.
Befassen Sie sich zudem mit besonders empfindlichen Daten, die den Betroffenen bei einem Missbrauch besonders große Nachteile bereiten könnten (z.B. Steuerberater wegen etwaiger Daten zur Religion in Steuererklärungen), müssen sie meiner Auffassung nach sogar bei nur einem einzigen Beschäftigten einen solchen Datenschutzbeauftragten haben.
Dies kann insgesamt durch interne oder externe Datenschutzbeauftragte geschehen. Beide müssen über die notwendigen Fachkenntnisse (Fachkunde) verfügen, welche im Zweifel nachgewiesen werden muss.
Gerne stehe ich Ihnen hier insgesamt beratend zur Seite. Zudem verfüge ich hier über eine TÜV Zertifizierung zum Datenschutzbeauftragten (Datenschutzbeauftragter (TÜV) unter Einhaltung der EU-DSGVO).