Was bringt die neue Datenschutzgrundverordnung (DSGVO)?

Im April 2016 hat das EU-Parlament die neue Datenschutzgrundverordnung (DSGVO) beschlossen. Sie tritt spätestens im Sommer 2018 in Kraft und ist dann in allen EU-Ländern unmittelbar gültiges Recht. Eine Verordnung muss nicht wie eine Richtlinie in nationales Recht gegossen werden. Auf Unternehmen, Behörden und Selbstständige, die sich auch zukünftig gesetzeskonform verhalten wollen, kommt jetzt eine Menge Arbeit zu.

Deutsches Datenschutzrecht als Vorbild Infografik DSGVO

Die DSGVO übernimmt in weiten Teilen Regelungen und Grundsätze aus dem deutschen Datenschutzrecht. So ist zum Beispiel auch in Zukunft jede Nutzung von persönlichen Daten erst einmal grundsätzlich verboten, wenn sie nicht explizit erlaubt ist oder wenn der Betroffene der Nutzung seiner Daten ausdrücklich zugestimmt hat. Ferner bleiben die Grundsätze der Datensparsamkeit, der Transparenz und der Zweckbindung gültig.

Die neuen und verschärften Regelungen

Umfangreiche Informationspflichten

Die Informationspflicht von Unternehmen wurde verschärft. Sie sind zukünftig verpflichtet, den Nutzern ihrer Dienste Auskunft zu erteilen über die Rechtsgrundlage zur Datenverarbeitung, die Dauer der Speicherung, die Art und Weise der Weitergabe von Daten an Auftragsdatenverarbeiter und vieles mehr.

Recht auf Datenportabilität

Nutzer*innen haben in Zukunft ein Recht auf Datenportabilität. Sie können in Zukunft zum Beispiel darauf bestehen, dass ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format an einen anderen Anbieter weitergegeben werden. Diese Regelung soll die Entwicklung interoperabler Formate fördern und wird vermutlich Auswirkungen auf die Entwicklung neuer Softwaresysteme haben.

Rechenschaftspflicht und Beweisumkehr im Streitfall

Ein großer Aufwand erwächst Unternehmen, Behörden und Selbstständigen aus der Rechenschaftspflicht. Sie müssen geeignete technische und organisatorische Maßnahmen ergreifen, um lückenlos nachweisen zu können, dass sie datenschutzkonform handeln. In einem Artikel der ct wird darauf hingewiesen, dass sich hieraus haftungsrechtliche Konsequenzen ergeben und vor Gericht die Beweislast umgekehrt wird. Bisher mussten Betroffene vor Gericht nachweisen, dass das Unternehmen oder die Behörde für eine Verletzung des Datenschutzes die Verantwortung trägt. In Zukunft muss der Datenverarbeiter nachweisen, dass er datenschutzkonform gehandelt hat.

Datensicherheit nach ISO/IEC 27001

Strengere Regeln gelten zukünftig bei der Datensicherheit. Der Anbieter muss nach der neuen DSGVO die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste gewährleisten, auf denen personenbezogene Daten verarbeitet werden. Eine Zertifizierung nach ISO/IEC 27001 kann dies sicherstellen.

Datenschutz-Folgenabschätzung

Auswirkungen auf die Entwicklung von Software dürfte eine weitere neue Regelung der DSGVO haben. Unternehmen müssen bei einer risikobehafteten Datenverarbeitung zukünftig eine Datenschutz-Folgenabschätzung durchführen. Falls sich aus dieser Abschätzung ein mögliches Risiko für die Betroffenen abzeichnet, müssen sie die zuständige Datenschutzbehörde darüber informieren. Diese soll dann innerhalb von acht Wochen dem Unternehmen schriftlich Empfehlungen zur Risikominimierung machen. Ob sich diese bürokratische Regelung in der Praxis bewährt, muss abgewartet werden. Softwareentwickler tun aber gut daran, Datenschutzüberlegungen in ihren Test-Szenarien abzudecken.

Hohe Strafen

Die DSGVO verpflichtet Unternehmen, Behörden und Selbstständige dazu, ein aufwändiges Datenschutzmanagement aufzubauen. Dass die EU es mit dem Datenschutz ernst meint, zeigen die neuen Sanktionen. Verstöße gegen die Verordnung können in Zukunft mit Strafzahlungen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des globalen Umsatzes geahndet werden.

Nutzen Sie die Zeit bis zum Inkrafttreten der DSGVO!

Auch wenn die DSGVO erst in zwei Jahren in Kraft tritt, sollte man sich schon heute Gedanken zu Umsetzung machen. Nutzen Sie die nächsten Monate,

  • um sich einen umfassenden Überblick darüber zu verschaffen, wo und wie in Ihrem Unternehmen personenbezogene Daten verarbeitet werden,

  • um alle relevanten Datenverarbeitungsprozesse zu dokumentieren,

  • um ein Konzept zur Datensicherheit möglichst nach ISO 27001 zu erarbeiten und

  • um die Schritte vorzubereiten, die notwendig sind, um eine Datenschutz-Folgenabschätzung abgegeben zu können.

Die Datenschutz-Experten von Cusy stehen Ihnen bei technischen und organisatorischen Fragen gerne zur Verfügung. Als Kunde von Cusy profitieren Sie von einer technischen Infrastruktur, die bereits heute wichtige Vorgaben der neuen DSGVO erfüllt.

Weitere Informationen rund um die neue DSGVO finden Sie beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.