DSGVO: Nicht aussitzen – handeln

0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
2968 Aufrufe  

Die EU-Datenschutzgrundverordnung (DSGVO) findet ab dem 25. Mai 2018 Anwendung und soll europaweit neue Maßstäbe für Datenschutzrechte, Sicherheit und Compliance setzen. In Deutschland ersetzt sie weitgehend das bislang gültige Bundesdatenschutzgesetz. Wir haben mit dem Datenschutzexperten und Rechtsanwalt Wilfried Reiners über die wichtigsten rechtlichen Neuerungen im Datenschutz nach DSGVO gesprochen.

Herr Reiners, ist es richtig, dass die gesetzlichen Anforderungen für deutsche Unternehmen noch gar nicht feststehen?

Wilfried Reiners: Nein, das ist nicht richtig. Die EU-DSGVO entfaltet als EU-Verordnung unmittelbare Wirkung für alle Unternehmen in der EU/EWR [Europäischer Wirtschaftsraum, Anm.d.R.] und zu einem inhaltlich beachtlichen Teil sogar weit über die EU hinaus. Wenn mich jemand fragt, wo denn die EU-DSGVO gilt, sage ich, weltweit mit Ausnahmen. Es ist klüger, sich vom Ganzen zu reduzieren, als den territorialen Wirkungskreis zu unterschätzen. Für Deutschland gibt es zudem ein nationales Umsetzungsgesetz, abgekürzt meist als BDSG (neu) oder BDSG (2018) bezeichnet. Seine inhaltlichen Grundlagen finden sich in den sogenannten Öffnungsklauseln in der EU-DSGVO.

Was halten Sie ganz generell für die wichtigsten Neuerungen im neuen Datenschutz nach DSGVO?

Reiners: Objekt der Betrachtung bleiben die personenbezogenen Daten des Individuums. Ich sehe im Wesentlichen drei neue Elemente. Erstens: Der Begriff der personenbezogenen Daten wurde in der EU-DSGVO wesentlich weiter gefasst. Die EU-DSGVO berücksichtigt zum Beispiel auch Standortdaten und ist in der Definition offen für neue Datentypen, wenn sie einen Personenbezug zulassen. Es ist eine neue Betrachtung vorzunehmen und eventuell sind neue Verfahren mit personenbezogenen Daten zu identifizieren. Zweitens: Ein ganz wesentlicher Punkt ist zudem die Erweiterung der möglichen selbstständigen „Tätereigenschaft“ auf die Auftragsverarbeiter neben ihren Auftraggebern. Ich denke, dass der Gesetzgeber hier die neuen Formen der IT-Gestaltung, wie Managed Services und Cloud Computing, einbinden wollte. Und drittens ist da dann noch der neue erheblich veränderte Sanktionsrahmen.

Was droht denn Unternehmen, die sich nicht auf die EU-DSGVO vorbereiten?

Reiners: Der Gesetzgeber möchte, dass der Datenschutz ernst genommen wird. Das zeigt sich deutlich an den möglichen Bußgeldern und den Schadensersatzansprüchen. Hier wurde neu „eingepreist“. Das zahlt so schnell keiner mehr aus der berühmten Portokasse, wenn Bußgelder in Höhe von 4 Prozent des Jahresumsatzes oder bis zu 20 Mio. Euro verhängt werden können. Es kommt das zum Zug, was höher ist. Diese Einpreisung legt die Einbeziehung des Datenschutzes in das Risikomanagement nahe.

Was raten Sie einem Unternehmen, das die EU-DSGVO nicht bis zum Stichtag umgesetzt hat?

Reiners: Dennoch weiter durchstarten. Es ist wichtig einen Plan zu haben, was, wann, wie umgesetzt wird, und daran zu arbeiten. Dann muss man, wenn man überprüft wird, nur gute Gründe dafür haben, warum man noch im „Halteverbot“ geparkt steht. Es wird dann im Einzelfall darauf ankommen, wie die Behörde die Argumente gewichtet. Wer nichts tut, wird sicher abgeschleppt.

Mehr erfahren

Ausführliche weiterführende Informationen zur EU-DSGVO bietet diese Aufzeichnung des Webinars „Datensicherheit und Datenschutz in der Cloud - In 4 Schritten auf die EU-Datenschutz-Grundverordnung vorbereitet“ mit Rechtsanwalt Wilfried Reiners und weiteren Experten von Microsoft Deutschland und Software-Beratungsunternehmen Brüll & Partner.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.