Genauso wichtig wie die inhaltlichen Anforderungen der DSGVO zum Recht der Verarbeitung von personenbezogenen Daten und zu den Rechten des Betroffenen sind die Anforderungen an die organisatorischen und betrieblichen Maßnahmen, die Unternehmen künftig erfüllen müssen. Hierbei kommen vor allem die neue Dokumentationspflichten ins Spiel.
Daneben wird das Erfordernis einer Zertifizierung für Unternehmen diskutiert – die Umsetzung hierfür und entsprechende Richtlinien sind derzeit noch offen.
Sicher ist aber bereits jetzt, dass die Dokumentation der datenschutzrelevanten Prozesse, datenschutzrelevanter Entscheidungen und datenschutzbezogener Risikoabwägungen ein zentrales Thema vor allem im Bereich einer etwaigen Zertifizierung werden.
Beschäftigten-Datenschutz
Hier dürften wohl auch nach dem 25. Mai 2018 einige der bereits jetzt bestehenden Auslegungsfragen zum Datenschutzrecht offen bleiben. Künftig werden aber auch im Beschäftigtendatenschutz die Grundsätze der Zweckbindung, der Zweckkompatibilität sowie der Informationspflichten wichtiger werden als bisher.
Gleiches gilt für Regelungen und Vereinbarungen zur (privaten) Nutzung von Informations- und Kommunikationstechnik im Beschäftigungsverhältnis.
Bußgelder bei Verstößen
Im Ergebnis bringt die neue Datenschutzverordnung viel Neues, aber auch Bekanntes. Das neue nationale Bundesdatenschutzgesetz und neue Landesdatenschutzgesetze sind auf dem Weg. Die Datenschutz-Grundverordnung gilt ungeachtet der nationalen Gesetzgebung ab dem 25.05.2018 unmittelbar.
Einige der Neuerungen werden von der Rechtsprechung und den Aufsichtsbehörden noch mit Leben gefüllt werden müssen. Es bleibt abzuwarten, welche konkreten Ausgestaltungen in einzelnen Bereichen kommen werden.
Für Unternehmen wird mit der neuen gesetzlichen Regelung vor allem das Haftungsrisiko erhöht: Bei Verstößen drohen Bußgelder bis zu vier Prozent des weltweiten jährlichen Bruttoumsatzes.
Besteht Handlungsbedarf?
Unternehmen sollten sich spätestens jetzt die Frage stellen, ob sie für die neue Datenschutzgrundverordnung bereit sind: passen die Datenschutzhinweise sowie die Einwilligungen zur Datenverarbeitung – beispielsweise auf Internetseiten oder bei Vertragsabschluss?
Welche Rechte haben Kunden im Einzelfall? Liegen Vereinbarungen zur Auftragsverarbeitung vor, und zwar insbesondere auch dann, wenn personenbezogene Daten innerhalb eines Konzerns oder gar ins Ausland weiter- gegeben werden müssen?
Muss ein Datenschutzbeauftragter bestellt werden? Wie steht es um das Verfahrensverzeichnis und die Datensicherheit, zum Beispiel im E-Mailverkehr?
Katrin Staier und Denise Primus sind Rechtsanwältinnen bei Schlatter Rechtsanwälte Steuerberater in Heidelberg.
Fotos: Shutterstock, Schlatter Rechtsanwälte Steuerberater
Mehr Beiträge zum Thema Digitalisierung:
Google: „Nicht der Kern unserer DNA“