Die EU-Datenschutz-Grundverordnung trat bereits zum 24. Mai 2016 in Kraft. Verbindlich anzuwenden ist sie ab dem 25. Mai 2018. Mit ihr kommen auf Unternehmen enorme rechtliche Änderungen zu. Bei Verstößen drohen Geldbußen von bis zu 20 Millionen Euro.

Zum 25. Mai 2018 müssen alle Unternehmen die Forderungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllen. Diese regelt ab da nicht nur, wie die personenbezogenen Daten gespeichert und geschützt werden müssen, sondern auch den Export solcher Daten innerhalb und außerhalb der Europäischen Union. Verstöße sollen hart geahndet werden. So müssen Unternehmen, die gegen die DSGVO verstoßen, mit Bußgeldern bis 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes des Vorjahres rechnen.

Aus diesem Grund sollten Unternehmen jetzt mit Hochdruck daran arbeiten, ihre IT-Systeme, Verträge mit EDV-Dienstleistern sowie die internen Prozesse auf die neuen Datenschutzrechte der DSGVO anzupassen. Für viele Unternehmen besteht akuter Handlungsbedarf, denn viel Zeit verbleibt nicht bis zum Termin der verbindlichen Anwendung der Verordnung. Schleunigst sollten jetzt Risikoanalysen erstellt und ein Soll-Ist-Vergleich zur Bestandsaufnahme erarbeitet werden. Daraus lassen sich dann entsprechende Maßnahmen ableiten. Eines steht jetzt schon fest: Um auf die neue EU-Datenschutz-Grundverordnung gut vorbereitet zu sein, muss die Belegschaft entsprechend geschult sein.

Die TÜV Akademie des TÜV Thüringen bietet dazu aktuelle Vorbereitungsseminare an. Die DSGVO sieht ausdrücklich eine Sensibilisierung und Schulung von Mitarbeitern vor, die an der Verarbeitung personenbezogener Daten beteiligt sind. Hier geht es zum Seminar: Vorbereitung auf die EU-Datenschutz-Grundverordnung (DSGVO)

Wesentliche Inhalte und Neuerungen der neuen EU-Verordnung:

  • Verarbeitung personenbezogener Daten:
    Personenbezogenen Daten dürfen nur für festgelegte Zwecke erhoben und müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet werden.

  • Einwilligung zur Verarbeitung:
    Betroffene Personen müssen ihre Zustimmung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben.

  • Auskunftsrecht:
    Betroffene Personen haben das Recht auf Auskunft, welche ihrer personenbezogenen Daten ein Unternehmen zu welchen Zwecken verarbeitet.

  • Recht auf Löschung der Daten:
    Auf Verlangen der betroffenen Person müssen Unternehmen die jeweiligen personenbezogene Daten unverzüglich löschen.

  • Datenschutz:
    Unternehmen, die personenbezogene Daten verarbeiten, müssen geeignete technische und organisatorische Maßnahmen treffen, wie z.B. Pseudonymisierung. Die Maßnahmen müssen so ausgelegt sein, dass die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umgesetzt werden.

  • Meldepflicht:
    Vorfälle einer Verletzung des Schutzes personenbezogener Daten sind unverzüglich und binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde sowie an die betroffenen Personen zu melden.

  • Folgenabschätzung:
    Unternehmen sind verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um Risiken für die Rechte und Freiheiten von betroffenen Personen einzuschätzen. Die Abschätzung der Folgen muss auch Maßnahmen vorgeben, wie die entstandenen Risiken minimiert werden können.

  • Datenschutzbeauftragter:
    Unter bestimmten Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten bestellen. Er muss dafür Sorge tragen, dass die Vorgaben der DSGVO eingehalten werden. 

Weiterführender Link

Internetseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit kostenlosen Download der EU-DSGVOwww.bfdi.bund.de