EU-Datenschutzgrundverordnung: Die Zeit läuft!

EU-Datenschutzgrundverordnung: Die Zeit läuft!

Mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2016 hat der zweijährige Prozess für Unternehmen begonnen, die Verordnungsinhalte umzusetzen. Sie müssen daher nun rechtzeitig handeln, bevor die DSGVO am 25.05.2018 unmittelbar geltendes Recht wird.

Ansprechpartner

Partner, Forensic

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Clock

Diese wird die europäische Datenschutzrichtlinie 95/46/EG sowie die darauf basierenden nationalen Datenschutzgesetzte, so auch das Bundesdatenschutzgesetz, verdrängen. Unternehmen müssen eine Vielzahl an Neuerungen berücksichtigen. So werden ihnen u. a. verstärkte Dokumentationspflichten, die Implementierung weiterer technischer und organisatorischer Maßnahmen sowie eine Stärkung der Betroffenenrechte auferlegt. Darüber hinaus müssen verschiedene bisher so nicht dagewesene Fristen beachtet werden.

Die DSGVO sieht vor allem folgende Neuerungen vor:

  • Massiv erweiterte Sanktionsmöglichkeiten
  • Erweiterte Haftungsrisiken
  • Neue Fristen und Transparenzpflichten
  • Verschärfte Notifikationspflichten bei Datenschutzverstößen
  • Erfordernis einer auf einer Risikoanalyse basierenden Datenschutzfolgeabschätzung
  • Privacy by design/privacy by default
  • Neue Anforderungen an das Verfahrensverzeichnis
  • Erweiterte Informations- und Hinweispflichten
  • Erweiterte Betroffenenrechte (insbes. Recht auf Datenportabilität und Recht auf Vergessenwerden)
  • Neue Anforderungen an die Einwilligung
  • Neue Anforderungen an die Auftragsverarbeitung.

Neben diesen Neuerungen räumen Öffnungsklauseln den nationalen Gesetzgebern in einzelnen Bereichen Gestaltungskompetenzen ein; insbesondere der Beschäftigtendatenschutz ist zu nennen. Daher ist die Entwicklung der nationalen Regelungen nicht außer Acht zu lassen. Wichtig: Auch außerhalb der EU ansässige Unternehmen haben die DSGVO zu beachten, sofern sie Daten von in der EU befindlichen Personen zum Angebot von Waren und Dienstleistungen oder der Verhaltensbeobachtung verarbeiten.

Gemessen an dem, was künftig zu beachten ist, werden die kommenden knapp zwei Jahre einigen Aufwand mit sich bringen, um, den Anforderungen der DSGVO in organisatorischer, prozessualer und technischer Form nachzukommen.

„Recht auf Vergessenwerden“

Ein kleines, aber illustratives Beispiel stellt zum Beispiel das sogenannte „Recht auf Vergessenwerden“ dar. Künftig gilt für alle Datenverarbeiter aller Branchen das, was man bisher nur mit Suchmaschinen wie Google in Verbindung gebracht hat: Wenn Kunden wünschen, dass ihre gespeicherten Daten gelöscht werden, dann muss das geschehen. Das gilt auch für die Kundendaten, die bereits an Dritte weitergegeben wurden. Und von dort weiter und von dort weiter. 

Sicher wird es branchenspezifische Unterschiede geben. Wer besonderes viele oder besonders schützenswerte Daten verarbeitet oder in besonderem Maße neue Technologien einsetzt, wird einen größeren Aufwand betreiben müssen, als andere Unternehmen. Zu nennen sind exemplarisch die Finanzbranche mit  ihrer großen Zahl an sensiblen Kundendaten auf vielen globalen Systemen, aber ebenso Versicherungen, die Pharmaindustrie, die Gesundheitsbranche, Telekommunikationsunternehmen oder Onlineanbieter. Unabhängig von der Branche gilt für alle Unternehmen:  Sie müssen ihre bisherigen Zuständigkeiten, Prozesse und Maßnahmen neu bewerten. Risikoanalyse, Konzeption  und Transparenz rücken in den Vordergrund.

Zur Umsetzung der Vorgaben der DSGVO sollten folgende Fragen berücksichtigt werden:

  • Verfügt Ihr Unternehmen über ein ganzheitliches Datenschutzkonzept?
  • Ist zweifelsfrei geklärt, wann eine Datenschutzfolgeabschätzung inklusive Konsultation der Aufsichtsbehörde durchzuführen ist?
  • Sind Zuständigkeiten und Prozesse implementiert, die sicherstellen, dass Transparenzpflichten erfüllt und Fristen eingehalten werden? 
  • Ist Ihr Unternehmen im Falle eines Datenschutzverstoßes umfassend reaktionsfähig?
  • Berücksichtigt Ihr Unternehmen die Grundsätze Privacy by Design und Privacy by Default durch Implementierung entsprechender technischer und organisatorischer Maßnahmen?
  • Verfügt Ihr Unternehmen über Prozesse und Maßnahmen zur Sicherstellung des Rechts auf Datenportabilität?
  • Verfügt Ihr Unternehmen über ein geeignetes Löschkonzept personenbezogener Daten, insbesondere auch über Prozesse zur Information Dritter, denen die Daten offengelegt wurden, über das Löschbegehren?
  • Genügen die bisher genutzten Prozesse zur Einholung einer Einwilligung des Betroffenen den gestiegenen Anforderungen der DSGVO? 
  • Wie handhabt Ihr Unternehmen internationale Datentransfers, insbesondere welche Maßnahmen werden genutzt und entsprechen diese der DSGVO?
  • Entsprechen Verträge mit Auftragsverarbeitern den Vorgaben der DSGVO?
  • Hat Ihr Unternehmen auf Basis der Öffnungsklauseln (bspw. im Beschäftigtendatenschutz) erlassene nationale Vorschriften im Blick?

Das klingt nach viel Arbeit und das ist es auch. Aber angesichts von nun drastisch erhöhten Bußgeldern von bis zu  20 Millionen Euro beziehungsweise vier Prozent des gesamten weltweiten Vorjahresumsatzes stellt sich kaum die Frage, ob man ein Datenschutzrisiko eingehen will. Die neue Rechenschaftspflicht des Datenverarbeiters, der die Einhaltung der Vorgaben der DSGVO nachweisen muss und die zur prozessualen Beweislastumkehr führen kann, unterstreicht dies.

Datenschutz

Beratung zu und Unterstützung bei der Einrichtung und Optimierung der Datenschutzorganisation.

 
Lesen Sie mehr

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform