Die EU Datenschutz-Grundverordnung (DSGVO) dient dazu den europäischen Datenschutz auf ein gemeinsamen Nenner zu bringen. National geltendes Recht muss entsprechend der EU Datenschutz-Grundverordnung angepasst werden.
Die einzige Möglichkeit der Mitgliedsstaaten kleinere Anpassungen vorzunehmen ist durch die so genannten Öffnungsklauseln. Diese müssen bis zum Ende der Umsetzungsfrist formuliert und gemeldet sein.
Wessen Daten sollen geschützt werden?
Gemäß Art. 1 der DSGVO ist eines der Ziele der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Hierbei wird auch speziell auf den Schutz bei die Verarbeitung personenbezogener Daten eingegangen.
Umgang mit personenbezogenen Daten
Die EU Datenschutz-Grundverordnung enthält auch Grundsätze für die Verarbeitung personenbezogener Daten. In Art. 5 der DSGVO wird beschrieben, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in nachvollziehbarer Weise verarbeitet werden müssen.
Des Weiteren muss die angemessene Sicherheit der Daten gewährleistet sein. Dies schließt den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeasichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen mit ein.
Die Einhaltung dieser Grundsätze muss nachgewiesen werden können.
Wann tritt die EU Datenschutz-Grundverordnung in Kraft?
Sie gilt bereits seit 24.05.2016. Zur Umsetzung wurde den Mitgliedsstaaten allerdings eine Frist von zwei Jahren gewährt, in diesem Fall endet diese mit dem 25.05.2018. Bis dahin muss das nationale Recht entsprechen angepasst werden.
Mit der Wirksamkeit der EU Datenschutz-Grundverordnung wird auch die Richtlinie 95/46/EG aufgeboben. Den genauen Wortlaut finden sie in Kap. 11 der DSGVO.
Der Countdown läuft
Nun ist es nicht mal mehr ein Jahr bis die DSGVO wirksam und damit in allen EU Mitgliedsstaaten anwendbar ist. Doch die große Ungewissenheit, auch seitens der Politik, und die Fülle an neuen Richtlinien erschlagen so manches Unternehmen.
Laut der Bitkom, dem Branchenverband der deutschen Informations- und Telekommunikationsbranche, hat sich jedes dritte Unternehmen noch nicht mit der DS-GVO auseinander gesetzt.
Hohe Strafen bei Verstößen
Dies kann im schlimmsten Fall Geldbußen in Millionenhöhe nach sich ziehen. Gemäß Art. 83 Abs. 4 ff. können bei Verstößen Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden. Je nachdem, welcher der beiden Beträge höher ist. In besonders schweren Fällen verdoppelt sich diese Grenze sogar. Hinzu kommt, dass Tochterunternehmen in die Rechnung mit einbezogen werden.
Allerdings wird die Aufsichtsbehörde in Art. 83. Abs. 1 angewiesen die Strafen wirksam, verhältnismäßig und abschreckend zu verhängen. Es ist also unwahrscheinlich, dass ein Kleinunternehmer Geldbußen in Millionenhöhe zahlen muss. Aber „wirksam“ und „abschreckend“ sind, in diesem Rahmen, sehr weit gefasste Begriffe.
Anwendung im praktischen Vollzug
Leider fehlen bisher noch klare Vorgaben, wie Unternehmen mit dem Gesetz umgehen sollen. Um Abhilfe zu schaffen hat die Datenschutzkonferenz (DSK) einige Kurzpapiere für die Anwendung im praktischen Vollzug veröffentlicht. Weitere Kurzpapiere sollen folgen.
Abschließend bleibt nur zu hoffen, dass nun alle Unternehmen mit der Umsetzung der EU Datenschutz-Grundverordnung beginnen und die Aufsichtsbehörden, zumindest in der Anfangszeit, Gnade vor Recht ergehen lassen. Denn daran, dass die DSGVO kommt, gibt es nicht zu rütteln.