DSGVO: Nicht aussitzen – handeln

0 Kommentare  
4413 Aufrufe  

Die EU-Datenschutzgrundverordnung (DSGVO) findet ab dem 25.

Mai 2018 Anwendung und soll europaweit neue Maßstäbe für Datenschutzrechte,

Sicherheit und Compliance setzen. In Deutschland ersetzt sie weitgehend das

bislang gültige Bundesdatenschutzgesetz. Wir haben mit dem Datenschutzexperten

und Rechtsanwalt Wilfried Reiners über die wichtigsten rechtlichen Neuerungen

im Datenschutz nach DSGVO gesprochen.

 

Herr Reiners, ist es richtig, dass die gesetzlichen Anforderungen für

deutsche Unternehmen noch gar nicht feststehen?

 

Wilfried Reiners:

Nein, das ist nicht richtig. Die EU-DSGVO entfaltet als EU-Verordnung

unmittelbare Wirkung für alle Unternehmen in der EU/EWR [Europäischer

Wirtschaftsraum, Anm.d.R.] und zu einem inhaltlich beachtlichen Teil sogar weit

über die EU hinaus. Wenn mich jemand fragt, wo denn die EU-DSGVO gilt, sage

ich, weltweit mit Ausnahmen. Es ist klüger, sich vom Ganzen zu reduzieren, als

den territorialen Wirkungskreis zu unterschätzen. Für Deutschland gibt es zudem

ein nationales Umsetzungsgesetz, abgekürzt meist als BDSG (neu) oder BDSG

(2018) bezeichnet. Seine inhaltlichen Grundlagen finden sich in den sogenannten

Öffnungsklauseln in der EU-DSGVO.

 

Was halten Sie ganz generell für die wichtigsten Neuerungen im neuen

Datenschutz nach DSGVO?

 

Reiners: Objekt

der Betrachtung bleiben die personenbezogenen Daten des Individuums. Ich sehe

im Wesentlichen drei neue Elemente. Erstens: Der Begriff der personenbezogenen

Daten wurde in der EU-DSGVO wesentlich weiter gefasst. Die EU-DSGVO

berücksichtigt zum Beispiel auch Standortdaten und ist in der Definition offen

für neue Datentypen, wenn sie einen Personenbezug zulassen. Es ist eine neue

Betrachtung vorzunehmen und eventuell sind neue Verfahren mit personenbezogenen

Daten zu identifizieren. Zweitens: Ein ganz wesentlicher Punkt ist zudem die

Erweiterung der möglichen selbstständigen „Tätereigenschaft“ auf die

Auftragsverarbeiter neben ihren Auftraggebern. Ich denke, dass der Gesetzgeber

hier die neuen Formen der IT-Gestaltung, wie Managed Services und Cloud

Computing, einbinden wollte. Und drittens ist da dann noch der neue erheblich

veränderte Sanktionsrahmen.

 

Was droht denn Unternehmen, die sich nicht auf die EU-DSGVO

vorbereiten?

 

Reiners: Der

Gesetzgeber möchte, dass der Datenschutz ernst genommen wird. Das zeigt sich

deutlich an den möglichen Bußgeldern und den Schadensersatzansprüchen. Hier

wurde neu „eingepreist“. Das zahlt so schnell keiner mehr aus der berühmten

Portokasse, wenn Bußgelder in Höhe von 4 Prozent des Jahresumsatzes oder bis zu

20 Mio. Euro verhängt werden können. Es kommt das zum Zug, was höher ist. Diese

Einpreisung legt die Einbeziehung des Datenschutzes in das Risikomanagement

nahe.

 

Was raten Sie einem Unternehmen, das die EU-DSGVO nicht bis zum

Stichtag umgesetzt hat?

 

Reiners: Dennoch

weiter durchstarten. Es ist wichtig einen Plan zu haben, was, wann, wie

umgesetzt wird, und daran zu arbeiten. Dann muss man, wenn man überprüft wird,

nur gute Gründe dafür haben, warum man noch im „Halteverbot“ geparkt steht. Es

wird dann im Einzelfall darauf ankommen, wie die Behörde die Argumente

gewichtet. Wer nichts tut, wird sicher abgeschleppt.

 

Mehr erfahren

 

Ausführliche weiterführende Informationen zur EU-DSGVO

bietet diese Aufzeichnung des Webinars „Datensicherheit und

Datenschutz in der Cloud - In 4 Schritten auf die

EU-Datenschutz-Grundverordnung vorbereitet“ mit Rechtsanwalt Wilfried

Reiners und weiteren Experten von Microsoft Deutschland und

Software-Beratungsunternehmen Brüll & Partner.