Bereits seit dem 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung (kurz: DS-GVO) in Kraft. Ab dem 25. Mai 2018 ist sie geltendes Recht in allen EU-Mitgliedsstaaten. Damit endet dann auch die zweijährige Übergangsfrist für Unternehmen und Behörden, ihre jeweilige Organisation auf das neue Datenschutzrecht umzustellen. Ziel ist es, den Schutz personenbezogener Daten innerhalb der Europäischen Union gleichermaßen sicherzustellen, da die Regelungen in den Mitgliedsländern bisher sehr unterschiedlich sind.
Die wesentlichen Änderungen:
Mit dem Gesetz sollen die Rechte der Betroffenen weiter gestärkt werden. Für Unternehmen gelten neue umfangreiche Transparenz- und Informationspflichten, die über die aktuellen Regelungen des Bundesdatenschutzgesetzes hinausgehen. Dadurch soll ein stärkerer Schutz der Betroffenen erreicht werden.
Neu ist außerdem eine sogenannte Rechenschaftspflicht. Das bedeutet, dass ein Unternehmen jederzeit nachweisen können muss, dass personenbezogene Daten entsprechend der Vorgaben der DS-GVO verarbeitet werden. Dies muss auch umfassend dokumentiert werden.
Um diesen Neuregelungen Nachdruck zu verleihen, wurden die Bußgelder bei Verstößen erheblich erhöht und auch die Anzahl der Bußgeldtatbestände erweitert. Bis zu 20 Millionen Euro kann das Bußgeld im Maximalfall betragen oder bis zu 4% des gesamten weltweit erzielten Vorjahresumsatzes.
Ist ein Unternehmen Auftragsverarbeiter, unterliegt er ebenfalls selbst der DS-GVO. Deshalb sollten Unternehmen auf jeden Fall prüfen, inwieweit die Anforderungen der DS-GVO zutreffen und umgesetzt werden müssen.
Die Aufsichtsbehörden befassen sich zurzeit intensiv mit den neuen Rechtsgrundlagen und deren Anforderungen und stimmen eine einheitliche Sichtweise ab. Erste Ergebnisse dieses Prozesses sind gemeinsame Kurzpapiere zur DS-GVO, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ab sofort veröffentlicht.
Diese Kurzpapiere dienen als erste Orientierung, wie nach Auffassung der Datenschutzkonferenz die DS-GVO in der Praxis angewendet werden sollte. Diese Kurzpapiere stehen unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen Datenschutzausschuss.