Aktueller Channel Fokus:

Managed Services

IT-Security Management & Technology Conference 2017

Compliance-Risiken aus rechtlicher Sicht

| Autor / Redakteur: Peter Schmitz / Dr. Andreas Bergler

Mit der DSGVO gilt jetzt europaweit gleiches Datenschutz-Recht für alle und damit auch gleiche Wettbewerbsbedingungen für alle.
Mit der DSGVO gilt jetzt europaweit gleiches Datenschutz-Recht für alle und damit auch gleiche Wettbewerbsbedingungen für alle. (Bild: Noerr LLP)

Mit der neuen Datenschutz-Grundverordnung (DSGVO) kommen neue Herausforderungen auf Unternehmen zu. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei der Noerr LLP und Keynote-Speaker bei der IT-Security Management & Technology Conference 2017.

ITB: In Deutschland haben Unternehmen sich über viele Jahre an die Anforderungen des Bundesdatenschutzgesetz (BDSG) gewöhnt. Jetzt kommt die Datenschutz-Grundverordnung (EU-DSGVO). Haben deutsche Unternehmen davon einen spürbaren Nutzen?

Bräutigam: Ja, haben sie: Jetzt müssen sich nämlich alle Unternehmen EU-weit an dieselben datenschutzrechtlichen Spielregeln halten. Bislang haben Unternehmen , die in anderen EU-Ländern ansässig sind, einen Wettbewerbsvorteil, weil nicht alle Staaten die bisherigen Vorgaben der EU-Datenschutzrichtlinie so strikt umgesetzt haben wie Deutschland. Diese Praxis wird im Mai 2018 vorbei sein. Mehr noch: Durch das Marktortprinzip haben sich auch Unternehmen aus dem EU-Ausland, also etwa aus den USA, an europäisches Datenschutzrecht zu halten, wenn deren Datenverarbeitung mit dem Angebot von Waren und Dienstleistungen an EU-Bürger oder mit der Beobachtung von deren Verhalten im Zusammenhang steht (Art. 3 Abs.2 a und b DSGVO). Insoweit gilt nun: Gleiches (Datenschutz-)Recht für alle und damit gleiche Wettbewerbsbedingungen für alle.

Ergänzendes zum Thema
 
Termine und Anmeldung

ITB: Welches sind die wichtigsten neuen Pflichten durch die DSGVO, auf die sich das Management und die IT eines deutschen Unternehmens einstellen müssen?

Bräutigam: Für Unternehmen bestehen bereits durch das BDSG umfassende Pflichten, welche durch die DSGVO zum Teil verschärft und zum Teil erweitert werden. Zu nennen sind vor allem die Grundsätze der Zweckbindung (Art. 5 Abs. 1 b DSGVO) und der Datenminimierung (Art. 5 Abs. 1 c DSGVO). die hohe Hürden für Big Data aufstellen. Darüber hinaus kommt es zu einer Erweiterung der Betroffenenrechte durch Einfügung des Rechts auf Vergessenwerden (Art. 17 Abs. 2 DSGVO), das neben den bereits nach bisherigem Recht bestehenden Anspruch auf Datenlöschung tritt und zusätzlich die Pflicht statuiert, auch Dritte darüber zu informieren, dass ein Betroffener die Löschung von Kopien seiner personenbezogenen Daten und aller Links dorthin verlangt hat. Eine besondere Herausforderung für Unternehmen stellt auch das neue Recht auf Datenportabilität (Art. 20 DSGVO) dar, wonach der Betroffene die von ihm bereitgestellten Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ erhalten soll. Hinzu kommt: Die Missachtung der oben genannten Pflichten ist alles andere als ein Kavaliersdelikt. Im Gegenteil, die DSGVO erhöht den Bußgeldrahmen hierfür dramatisch auf 20 Mio. Euro oder – im Falle von Unternehmen – auf 4 Prozent des gesamten erzielten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 a und b DSGVO)! Auch wenn noch nicht ausgemacht ist, in welchen Fällen die Behörden diesen Rahmen ausschöpfen werden, muss das Management diese drakonische Sanktionsmöglichkeit im Blick haben.

ITB: Wo liegen die rechtlichen Fallstricke der Datenschutz-Grundverordnung und wie umgeht man sie am einfachsten?

Bräutigam: Angesichts der eben genannten horrenden Bußgelder ist es mit einfachen Umgehungslösungen nicht getan. Die Unternehmen müssen vielmehr bis Mai 2018 kritisch hinterfragen, ob ihre Datenverarbeitung den Anforderungen der DSGVO entspricht, und bei identifiziertem Handlungsbedarf ihre Hausaufgaben machen. Insbesondere gilt es, vorhandene Prozesse anzupassen und weitere neu aufzusetzen. So sind die bereits in den vorhandenen Abläufen vorgesehenen Mechanismen und Rahmenbedingungen an Einwilligungen auf Konformität mit dem neuen Recht (Art. 7 und Art. 8 DSGVO) zu überprüfen. Gleiches gilt für die Verhältnisse, in denen sich das Unternehmen Dritter bei der Auftragsdatenverarbeitung bedient (Art. 28 und Art. 29 DSGVO). Auch die Verfahrensverzeichnisse sind an das neue Recht anzupassen (Art, 30 DSGVO). Die Pflicht, Verfahrensverzeichnisse aufzustellen trifft nun, anders als bisher, auch den Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO). Schließlich ist die Durchführung und Dokumentation der neuen Pflicht zur Datenschutzfolgeabschätzung (Art. 35 DSGVO) einzuführen. Daneben stellt sich noch eine weitere Herausforderung: Die Datenschutz-Grundverordnung überlagert in ihrem Anwendungsbereich das deutsche Recht. Dennoch wird es an vielen Stellen den Mitgliedstaaten ermöglicht, eigene Regelungen zu schaffen. Wie dieser Spielraum zukünftig umgesetzt wird, ist eng im Auge zu behalten, um böse Überraschungen zu vermeiden.

Peter Schmitz
Über den Autor

Peter Schmitz

Chefredakteur

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44714673 / Summits & Exclusives)