Zum Hauptinhalt springen

EU-DSGVO & BDSG - Wichtige Datenschutzinformationen für Ihr Unternehmen

Liebe Leserin, lieber Leser,

mit der Verabschiedung der europäischen Datenschutz-Grundverordnung (EU-DSGVO), die europäische und nationale Regelungen zum Daten­schutz einheitlich novelliert, wurde es notwendig auch das Bundesdatenschutzgesetz (BDSG) an die neuen Gegebenheiten der EU-DSGVO anzupassen.

Beschlossen wurde das „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“, mit dem das „alte“ Bundesdatenschutzgesetz mit den neuen Vorgaben in Einklang gebracht wurde.

Das Ergebnis trägt wieder den Namen „Bundesdatenschutzgesetz“ nur jetzt mit dem Zusatz „neu“ (kurz: BDSG-neu). Es wird das „alte“ Bundesdatenschutzgesetz (BDSG-alt) am 25. Mai 2018 ablösen!

Somit wird der 25. Mai 2018 zu einem sehr wichtigen Stichtag für alle Unter­neh­men in Deutschland und in Europa, da genau ab diesem Zeitpunkt nur noch und ausschließlich die neuen Datenschutz-Verordnungen und -Gesetze zur Geltung kommen.

Grund genug, die wichtigsten Informationen, des ab Mai gültigen Bundes­daten­schutzgesetzes (BDSG-neu) in Verbindung mit der europäischen Datenschutz-Grundverordnung in den Fokus dieser Ausgabe zu stellen.

Sollten Sie darüber hinaus weitere Informationen benötigen oder eine ausführliche Beratung in Anspruch nehmen wollen, stehen wir Ihnen jederzeit sehr gerne zur Verfügung.

Sie erreichen uns unter der Telefonnummer + 49 395 555 3304 oder per E-Mail  an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Ziel der Neuerungen ist es, ein einheitliches Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von personen­bezogenen Daten in allen europäischen Mitgliedstaaten zu gewähr­leisten - Ein Gesetz, welches für alle gültig ist!

Ziele und allgemeine Informationen zu den neuen Vorgaben

Alles in allem erst einmal eine gute Idee - einheitliches Schutzniveau und gleiche Regeln für alle Staaten der europäischen Union. Nur so ganz einfach ist das dann doch nicht, weil jedes Mitgliedsland eigene nationale Interessen hat und auch diese in den neustrukturierten Datenschutzvorgaben ihren Platz haben müssen.

Die Lösung: Konkretisierungsklauseln (auch Öffnungsklauseln genannt)

Mit den diesen Klauseln zur Konkretisierung erhalten die Mitgliedstaaten die Möglichkeit, nationale Datenschutzregelungen mit einzubringen, die dann für das jeweilige Land gültig sind. Diese Regelungen können vielfältig sein und ermöglichen so sehr große Handlungs­spielräume für die einzelnen nationalen Belange.

Wichtig hierbei ist nur, dass die Vorgaben der europäischen Daten­schutz­grundverordnung immer vor den nationalen Interessen stehen und somit zwingend eingehalten werden müssen.

Genau hier kommt das Bundesdatenschutzgesetz ins Spiel, welches in 2017 durch das „Gesetz zur Anpassung des Datenschutzrechts …“ auf die EU-DSGVO angepasst wurde und ab jetzt Bundesdatenschutzgesetz neu (BDSG-neu) be­nannt wird.

Das BDSG-neu tritt am 25. Mai 2018 in Kraft und löst zeitgleich das BDSG-alt ab. Es regelt die nationalen Datenschutzvorgaben auf Basis der EU-DSGVO und ist für alle bindend, die in Deutschland personenbezogene Daten1 verarbeiten!

Bestellung eines Datenschutzbeauftragten

Anders als in der europäischen Datenschutzgrundverordnung (EU-DSGVO) ist die  Anzahl der Mitarbeiter, ab der ein betrieblicher oder externer Datenschutz­be­auf­tragter bestellt werden muss, in Deutschland deutlich niedriger.

Laut BDSG-neu muss ein Datenschutzbeauftragter bestellt werden:

 „… wenn mindestens zehn Personen ständig mit der automatisierten Ver­ar­bei­tung personenbezogener Daten beschäftigt sind, wenn wegen eines hohen Risikos für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO notwendig ist oder geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der ano­nymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (vgl. § 38 Abs. 1 BDSG-neu) …“.

Kündigungsschutz eines Datenschutzbeauftragten

Auch beim erhöhten Kündigungsschutz des Datenschutzbeauftragten weicht das BDSG-neu deutlich von den Vorgaben der EU-DSGVO ab. Wo die europäische Verordnung keinen besonderen Schutz vorsieht, setzt das BDSG-neu ein deutliches Zeichen und schützt den Datenschutzbeauftragten vor unzulässiger Entlassung. Im Rahmen dieses sehr hohen Schutzniveaus können Kündigungen nur „aus wichtigem Grund" ausgesprochen werden. Dieser erhöhte Schutz wirkt sogar bei einer gültigen Abberufung vom Amt des Daten­schutz­beauftragten nach. In diesem Fall gelten die Schutzmechanismen für weitere 12 Monate!

Schmerzensgeldanspruch für Verbraucher

Im Gegensatz zur EU-DSGVO können, laut BDSG-neu, jetzt auch betroffene Per­sonen eine Entschädigung verlangen, die keinen Vermögensschaden erlitten haben, was speziell für Unternehmen relevant werden könnte, da hier hohe finanzielle Risiken lauern!

Mehr Befugnisse für die Datenschutz-Aufsichtsbehörden

Mit den Neuregelungen durch die europäische Datenschutz-Grundverordnung  (EU-DSGVO) und dem Bundesdatenschutzgesetz neu (BDSG-neu) kommen auf die Datenschutz-Aufsichtsbehörden deutlich mehr Aufgaben zu.

Hierfür wird die Personaldecke der einzelnen Behörden verstärkt und sie erhalten mehr Rechte und viel mehr Sanktionsmöglichkeiten. Es wurde auch schon davon gesprochen, dass „… die Datenschutz-Aufsichtsbehörden durch die EU-DSGVO Zähne bekommen …“, was zur Folge hat, dass die die Anzahl der aktiven Datenschutz-Kontrollen deutlich steigern wird!

Zudem werden die Bußgelder deutlich angepasst. Waren bislang Strafen von bis 300.000,00 EUR möglich, werden diese ab 25. Mai 2018 auf bis zu 20 Millionen angehoben und sollte das als Sanktion nicht ausreichend sein, könnten sogar bis zu 4% des weltweiten Konzernumsatzes geltend gemacht werden!

Neuerung bei der Beweislast

Mit Einführung der EU-DSGVO unterliegt jedes Unternehmen der sogenannten „Rechenschaftspflicht“, so dass ab jetzt nicht nur die Sicher­stellung der Daten­schutz­vorgaben nachzuweisen sind, sondern auch proaktiv die Gewähr­leistung der Angemessenheit des Datenschutzniveaus. Durch diese Rechen­schafts­pflicht wird die bisherige Lastenverteilung umgedreht und Sie müssen nun aktiv nachweisen, dass Ihr Datenschutz funktioniert und das unabhängig davon, ob Schaden entstanden ist oder nicht. Genau das macht es für Aufsichtsbehörden zukünftig deutlich einfacher entsprechende Kontrollen durchzuführen.

Das Datenschutz-Managementsystems (DSMS)

Mit der Einführung der neuen Regelungen wird es unumgänglich, Prozesse umfangreich zu dokumentieren und eine Erfolgsmessung einzuführen. Nur so kann der Nachweis erfolgen, dass die Grundsätze der Datenverarbeitung nach EU-DSGVO eingehalten werden. Zudem ermöglicht ein solches System schnellere Reaktionszeiten, falls es einmal zu einer Daten­schutz­panne kommen sollte.

Eine unzureichende Dokumentation kann sich hingegen sehr negativ auswirken, vor allem wenn es um die Festlegung eines möglichen Bußgeldes geht. Somit ist die Einführung eines Datenschutz-Managementsystems (DSMS) nach EU-DSGVO für jedes Unternehmen so gut wie unumgänglich!

Für mehr Informationen zum Thema DSMS können Sie unsere Daten­schutz­zeitung vom Oktober 2017 nutzen.

Die wichtigsten Schritte, die von jedem Unternehmen bis zum 25.05.2018 umgesetzt sein müssen

  • Bestellung eines Datenschutzbeauftragten (DSB)            
    Wenn die Vorgaben (Seite 5, oben) zur Bestellung eines Daten­schutz­beauftragten erfüllt sind, muss zwingend und unverzüglich eine Bestellung eines betrieblichen oder externen DSB erfolgen.
  • Erstellung eines „Verzeichnis zu Verarbeitungstätigkeit“             
    Jedes Unternehmen muss ein Verzeichnis von Verarbeitung­stätigkeiten erstellen, in dem unter anderem Verantwortlichkeiten und Zwecke der Verarbeitung von personenbezogenen Daten festgelegt werden.
  •  „Auftragsverarbeiter“ – Es müssen Verträge geschlossen werden          
    Arbeitet man mit externen Personen/Unternehmen, die Zugriff auf per­sonen­bezogene Daten erhalten (z.B. IT-Dienstleister, …), müssen ent­sprech­ende Verträge geschlossen werden. Die EU-DSGVO spricht hier vom Auftragsverarbeiter und vom für die Verarbeitung Ver­ant­wort­lichen. Wie in der früheren Auftragsdatenverarbeitung ist auch jetzt eine ver­tragliche Regelung erforderlich, die allerdings nicht mehr schriftlich vor­liegen muss. Die Vereinbarung wird auch in elektronischer Form von den Aufsichtsbehörden akzeptiert.
  • Erstellung eines Verfahren zur Meldung von Datenschutzverstößen      
    Legen Sie einen Prozess fest, so dass eine Schadensmeldung innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes gewährleistet ist.
  • Erstellung einer Datenschutz-Folgenabschätzung (DSFA)             
    Laut EU-DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen wenn: „… eine Form der Verarbeitung, insbeson­dere bei Verwendung neuer Technologien, aufgrund der Art, des Um­fangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat …“.
  • Überarbeitung und Anpassung aller vorhandenen Dokumente 
    Alle Datenschutzerklärungen sollten überarbeitet werden, da unter anderem Melde­pflichten teilweise deutlich verschärft wurden. Speziell allgemein verfügbare Erklärungen (z.B. über das Internet veröffentlichte Dokumente) sollten hierbei bevorzugt überarbeitet werden, da hier eine Abmahnwelle drohen könnte.
  • Die neuen Datenschutzvorgaben ziehen Auswirkungen nach sich, die nahezu alle Unternehmen in Europa betreffen. Somit ist es für alle Unternehmensführungen wichtig, Verfahren, mit denen personenbezogene Daten verarbeitet werden, auf einen möglichen Anpassungsbedarf überprüfen zu lassen.

Das Projekt zur Umsetzung (EU-DSGVO & BDSG-neu)

  • Sind wir datenschutzkonform?
  • Die Lösung: Eine offizielle Zertifizierung!
  • Vorteile einer Zertifizierung
Sie erreichen uns unter der Telefonnummer + 49 395 555 3304 oder per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.