DSGVO von EU-Parlament verabschiedet
[Update 04.05.2016]
Die DSGVO wurde heute (04.05.2016) im EU-Amtsblatt veröffentlicht. Damit tritt sie am 25.05.2016 in Kraft. Anzuwenden ist sie ab dem 25.05.2018. Ab heute tickt also die Uhr…
[Update Ende]
Es ist soweit. Am 14.04.2016 hat das Europaparlament die neue Datenschutzgrundverordnung (DSGVO) endgültig verabschiedet. Nach deren Veröffentlichung im EU-Amtsblatt tritt sie 20 Tage später in Kraft und wird nach einer Übergangsfrist von 2 Jahren angewandt werden. Die amtliche deutsche Übersetzung des Beschlusses inkl. der weit über 100 Erwägungsgründe findet sich hier (und hier die englische Version).
Zukünftig einheitlich
Wir wissen also, dass wir ab Anfang Mai 2018 ein EU-weit einheitliches Datenschutzrecht haben. Anders als die durch den Beschluss aufgehobene EU-Richtlinie 95/46/EG, welche die Grundlage für das derzeit noch geltende Bundesdatenschutzgesetz (BDSG) bildet, wird die DSGVO als Verordnung in allen Mitgliedsstaaten der EU direkt und einheitlich gelten. Die Tage der unterschiedlichen Datenschutz-Gesetzgebung in den einzelnen EU-Mitgliedsstaaten sind also gezählt.
Dass die Bußgelder mit der DSGVO gegenüber dem BDSG mehr als verdreißigfacht wurden, dürfte mittlerweile allgemein bekannt sein (ansonsten siehe diesen Artikel). Von der enormen Höhe der Beträge abgesehen, dürfte für Unternehmer vor allem interessant sein, dass mit der DSGVO auch ein neues Modell der risikobasierten Gefährdungsbeurteilung eingeführt werden wird.
Datenschutz-Folgenabschätzung
Für Verarbeitungen, die “insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge” haben, ist eine sog. Datenschutz-Folgenabschätzung durchzuführen. Die Festlegung, welche Verarbeitungen hiervon betroffen sind, werden gem. Art. 35 Abs. 4 durch die Aufsichtsbehörden getroffen. Somit sind diese Verarbeitungen zum jetzigen Zeitpunkt noch nicht festgelegt. Ebenso sollen die Aufsichtsbehörden eine Negativliste erstellen, also eine Liste, auf denen Verarbeitungen gelistet sind, für die keine Datenschutz-Folgenabschätzung durchzuführen ist.
Unternehmen, die einen Datenschutzbeauftragten bestellt haben, haben diesen an der Durchführung der Datenschutz-Folgenabschätzung zu beteiligen (Art. 35 Abs. 2). Dieser kleine Satz, der eigentlich eine Selbstverständlichkeit beschreibt, wird voraussichtlich zukünftig dafür sorgen, dass die Datenschutzbeauftragten der Unternehmen stärker und vor allem auch früher in die Einführung oder Änderung von Verfahren einbezogen werden. Bislang passiert das in vielen Unternehmen ja eher zufällig.
Öffnungsklauseln
Die DSGVO enthält zahlreiche Öffnungsklauseln um durch nationale Gesetzgebung in gewissem Rahmen schärfere Regelungen zu erlassen. Diese Öffnungsklauslen sind in der Regel so formuliert, dass hierzu neue Gesetze geschaffen werden, aber auch bestehende Gesetze weiter gelten können. Die Bundesregierung hat angekündigt, bis Jahresende diese Öffnungsklauseln “mit Leben zu füllen”. Warten wir ab, ob es wirklich so schnell geht. Solange die entsprechenden Gesetze und Verordnungen nicht existieren, steht der volle Umfang der neuen Datenschutz-Regelungen jedenfalls noch nicht fest.
Der Datenschutzbeauftragte
Eine dieser Öffnungsklauseln betrifft die Pflicht zur Bestellung des Datenschutzbeauftragten. Der Bundesjustizminister hat bereits angekündigt, die deutlich lascheren Regelungen der DSGVO durch Nutzung der Öffnungsklausel an die derzeitigen Regelungen des BDSG anzugleichen. Nach derzeitigem Stand wird es also bei der Pflicht zur Bestellung eines Datenschutzbeauftragten bleiben sofern mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Allerdings werden die Vorteile, die man dadurch derzeit hat (z. B. Wegfall der Meldepflicht) nicht erhalten bleiben können, weil sie in der DSGVO nicht vorgesehen sind.
Datenverarbeitung im Auftrag
War die Regelung zur Datenverarbeitung im Auftrag gem. BDSG § 11 recht kurz gehalten, so wird die DSGVO diesem Thema und seiner Bedeutung deutlich gerechter. Erstmals wird auch die Rolle des Auftragsverarbeiters eingeführt und stärker zwischen dem Verantwortlichen (im BDSG: verantwortliche Stelle) und dem Auftragsverarbeiter (im BDSG: nicht klar definiert, irgend etwas zwischen “Dritter” und “Teil der verantwortlichen Stelle”) unterschieden.
Verfahrensverzeichnis
In diesem Zusammenhang wird auch die Pflicht zur Führung der Verarbeitungsübersicht neu geregelt. Hier gibt es eine erfreuliche Erleichterung, denn dieses ist zukünftig nur noch zu führen, wenn das entsprechende Unternehmen mind. 250 Mitarbeiter beschäftigt. Auch die Herausgabe an Jedermann (Stichw. “öffentliches Verfahrensverzeichnis”) entfällt zukünftig. Die Verarbeitungsübersicht ist nur noch für die Vorlage bei den Aufsichtsbehörden gedacht. Gleichzeitig gibt es auch eine Verschärfung, denn die Pflicht zur Führung der Verarbeitungsübersicht trifft zukünftig auch Auftragsverarbeiter.
Die Uhr tickt…
Wie schon geschrieben läuft nun eine zwei-jährige Übergangsfrist. Zwei Jahre erscheinen zunächst nach einem komfortabel langem Zeitraum. Betrachtet man aber die neuen Anforderungen, die durch die DSGVO gestellt werden, sollte der zur Umsetzung der neuen Regelung zu treibende organisatorische, zeitliche und technische Aufwand nicht unterschätzt werden.
Benötigen Sie Unterstützung beim Übergang von BDSG auf die DSGVO? Ich unterstütze Sie! Rufen Sie an und wir klären in einem ersten kostenfreien Gespräch, welcher Weg für Sie und Ihr Unternehmen der richtige ist.