Diese Webseite nutzt Cookies

Diese Webseite nutzt Cookies zur Verbesserung des Erlebnisses unserer Besucher. Indem Sie weiterhin auf dieser Webseite navigieren, erklären Sie sich mit unserer Verwendung von Cookies einverstanden.

Einige dieser Cookies sind technisch zwingend notwendig, um gewissen Funktionen der Webseite zu gewährleisten.

Darüber hinaus verwenden wir einige Cookies, die dazu dienen, Informationen über das Benutzerverhalten auf dieser Webseite zu gewinnen und unsere Webseite auf Basis dieser Informationen stetig zu verbessern.

Zum Hauptinhalt springen

Was tun? Neue gesetzliche Regelungen beim Datenschutz


Das bisher geltende Bundesdatenschutzgesetz gehört in einigen Wochen der Vergangenheit an, denn es wird durch eine EU-weite Regelung zum Datenschutz ersetzt. Das bedeutet vor allem eins: Zukünftig werden weitaus höhere Anforderungen an das firmeninterne Datenschutzmanagement gestellt. Wer sich nicht bereits jetzt schon darauf eingestellt hat, sieht sich großen Herausforderun-gen gegenüber.

VISIONupdate hat hierzu den Datenschutzbeauftragten, Achim Wolf, befragt.

Herr Wolf, das Datenschutzniveau in Deutschland gilt als relativ hoch. Warum kommt es nun zu gesetzlichen Änderungen?

Die Europäische Gemeinschaft hat 1995 eine Richtlinie zum Datenschutz erlassen, an die sich die Datenschutzgesetze der Mitgliedstaaten anlehnen sollten. Dies ist aufgrund der Rechtsunverbind-lichkeit nur unzureichend geschehen und führte zu einem starken Datenschutzgefälle zwischen den Mitgliedern der EU. Infolge dessen erließ die Europäische Union 2016 eine neue Datenschutz-grundverordnung, die nun für alle Mitgliedstaaten rechtsverbindlich ist. Am 25.Mai 2018 wird diese EU-DSGVO nach einer zweijährigen Übergangsfrist in nationales Recht übergehen.

Was ist neu an diesem Gesetz?

Eine zentrale Neuerung der DSGVO gegenüber dem bisherigen BDSG ist die „Rechenschafts-pflicht“. Vergleichbar mit dem unternehmensinternen Qualitätsmanagement ist jetzt eine umfang-reiche Dokumentation über die Verarbeitung von personenbezogenen Daten anzufertigen und in einem Datenschutzhandbuch abzulegen. Spätestens an diesem Punkt wird deutlich, dass das The-ma Datenschutz in keinem Unternehmen mehr stiefmütterlich behandelt werden kann.

Welche Unterlagen müssen in einem Datenschutzhandbuch niedergelegt werden?

Das Handbuch ist als strukturierte Sammlung aller relevanten Dokumente zu verstehen. Unter-nehmen müssen beispielsweise die Antworten auf folgende Fragen dokumentieren: „Welche Daten habe ich und wo sind diese abgelegt? Darf ich diese Daten rechtlich überhaupt besitzen und nutzen? Wer hat Zugang zu meinen Daten? Wohin gehen meine Daten? Wie muss ich mit den Da-ten umgehen?“ Besonders wichtig sind:

  • die Nennung der Verantwortlichen mit Kontaktdaten
  • die Rechtsgrundlage für die Verarbeitung
  • Erklärungen zu den erfassten Informationen, Verarbeitungsverfahren und -zwecken
  • eine Beschreibung der Kategorien von betroffenen Personen sowie von den Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch of-fengelegt werden. Als Beispiel sind hier die Verträge mit allen Auftragsverarbeitern wie z. B. EDV-Dienstleistern zu nennen, mit denen Unternehmen einen detaillierten Vertrag schlie-ßen müssen.
  • Aufzeichnungen der Zustimmungen, die Nutzer abgegeben haben
  • Dokumentation der technischen und organisatorischen Maßnahmen, die für den Schutz der personenbezogenen Daten eingesetzt werden

Dies sind aber nur Beispiele von Unterlagen, die eine höchstmögliche Transparenz herstellen sol-len. Beginnen sollten Unternehmen zunächst mit der Dokumentation der Themen „interne Struk-tur“, „Zutrittskontrolle“, „Zugangskontrolle“, „Zugriffskontrolle“, „Inventar Hardware“, „Inventar Software“, „Auflistung aller Datenarten“, „Recherche der gesetzlichen Grundlagen für die Verarbei-tung von Daten“, „Aufbewahrungsfristen“, etc.

Sie sprechen den Verantwortlichen an. Müssen Unternehmen zukünftig einen externen Datenschutzbeauftragten benennen?

Unternehmen müssen nicht zwingend einen externen Datenschutzbeauftragten bestellen, diese Funktion kann auch intern besetzt werden. Firmen und Institutionen sollten sich allerdings die Frage stellen, ob sie intern das notwendige umfangreiche Fachwissen haben, und ob sie die zeitlichen Ressourcen für die Erstellung eines Datenschutzhandbuchs bereitstellen können. Denn es reicht nun nicht mehr, eine Person in Alibifunktion als Datenschutzbeauftragten zu benennen. Zudem ist zu bedenken, dass die Kosten für die Fort- und Weiterbildung interner Mitarbeiter oft höher sind als die Aufwendungen für einen externen Datenschutzbeauftragten. Hinzu kommt, dass es keinen Interessenkonflikt zwischen den Aufgaben eines Mitarbeiters im Unternehmen und der Tätigkeit als Datenschutzbeauftragter geben darf. So können Unternehmensinhaber die Funktion des Da-tenschutzbeauftragten nicht übernehmen, da sie sich selbst überprüfen und regeln müssten.

Wie sieht es mit der Überprüfung und Sanktionierung aus?

Alle Aufsichtsbehörden der zuständigen Bundesländer stocken zurzeit ihr Personal massiv auf. Die ehemalige „Kann“-Sanktionierung ist in eine „Muss“-Sanktionierung abgeändert worden. Damit möchte die EU Druck auf ihre Mitglieder ausüben. An diesem Punkt wird auch deutlich, warum die Rechenschaftspflicht für die Unternehmen eingeführt wurde. Denn bisher mussten die Aufsichts-behörden den Unternehmen einen datenschutzrechtlichen Verstoß gezielt nachweisen – eine für die Behörden aufwändige Angelegenheit. Jetzt dürfen Aufsichtsbehörden einfach fordern: „Zeigen Sie mir, bitte, Ihre Dokumentation nach DSGVO“. Kann ein Unternehmen die geforderten Unterlagen nicht vorweisen, liegt ein strafbewährtes Organisationsverschulden vor. Dann können Bußgel-der bis zu einer Höhe von 20 Millionen Euro oder 4% des weltweiten Umsatzes verhängt werden.

 

Vielen Dank für das Gespräch

 

Die bender gruppe bietet die Dienstleistung „externer Datenschutzbeauftragter“ durch die b.e.consult GmbH an. Sollten Sie hierzu Fragen haben, wenden Sie sich bitte an:

Achim Wolf
Datenschutzbeauftragter
Dr.-Rudolf-Eberle-Straße 8-10 76534
Baden-Baden
Tel.: +49 (0)7223-9669-323
Fax.: +49 (0)7223-9669-6323
Mail: a.wolf@be-imaging.de

 

BU: Die neue Datenschutzrichtlinie bringt weitaus höhere Anforderungen an das firmeninterne Datenschutzmanagement mit sich.

Bildquelle: Pe3k/Shutterstock.com

Lassen Sie sich inspirieren