EU-DSGVO

Was ändert sich mit der europäischen Datenschutz-Grundverordnung für mein mittelständisches Unternehmen?

Diese Frage werden Sie sich vielleicht auch schon gestellt haben. In diesem Überblicksartikel gehe ich nach kurzer Einordnung in ausgewählte Inhalte. Aus der Sicht eines Nicht-Juristen leite ich den Handlungsbedarf für kleine und mittlere Unternehmen in vier wesentlichen Punkten ab. 

Einordnung

Die Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG aus dem Jahre 1995 ab. Die EU-DSGVO gilt nach Inkrafttreten am 25. Mai 2018 unmittelbar in der gesamten Europäischen Union. Dennoch gibt es Anpassungsbedarf auf nationaler Ebene. Referentenentwürfe für ein Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) sind in der Diskussion. 
Mit der DSGVO wird eine rechtliche Harmonisierung des digitalen Binnenmarktes angestrebt. Der in der EU-Grundrechtecharta verankerte Grundrechtsschutz wird mit dieser Verordnung verbessert.

Inhalte

Die DSGVO leitet zu Beginn mit 173 Erwägungsgründen ein, dann folgen die 99 Artikel, die in 11 Kapitel gegliedert sind. 

In Kapitel 1 finden wir in den allgemeinen Bestimmungen den sachlichen und räumlichen Anwendungsbereich und die Begriffsbestimmungen.

Kapitel 2 befasst sich mit den Grundsätzen, wie Rechtmäßigkeit der Verarbeitung, Bedingungen für die Einwilligung, wobei hier besonders auf Kinder eingegangen wird.

Den ersten Kern bildet das Kapitel 3 "Rechte der betroffenen Person". In den fünf Abschnitten werden u.a. die Informationspflichten, Berichtigung, Löschung und Widerspruch geregelt.

Das Kapitel 3 beleuchtet die Rollen des Verantwortlichen und des Auftragsverarbeiters. In den fünf Abschnitten werden neben den allgemeinen Pflichten, die Sicherheit personenbezogener Daten behandelt. Neu ist die Datenschutz-Folgenabschätzung in Abschnitt 3. Der Abschnitt 4 geht auf Benennung, Stellung und Aufgaben des Datenschutzbeauftragten ein. Verhaltensregeln und Zertifizierung ist Gegenstand im Abschnitt 5.

Die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen wird in Kapitel 5 beleuchtet.

In den folgenden beiden Kapiteln wird auf die Aufsichtsbehörden und deren Zusammenarbeit behandelt. Es schließen sich noch vier weitere Kapitel an, auf die wir nicht näher eingehen.

Handlungsbedarf

Die Erneuerung der Rechtsgrundlagen bringt Handlungsbedarf mit sich, der schon vor dem Inkrafttreten berücksichtigt werden muss:

1) Der Verantwortliche muss nicht nur geeignete technische und organisatorische Maßnahmen treffen, um die Verordnung umzusetzen, er muss sie auch nachweisen können. Mit anderen Worten, sie müssen geeignet dokumentiert werden. (Art. 24)

Wer nach den Gewährleistungszielen des Standard-Datenschutzmodells vorgeht, hat schon eine gute Ausgangsbasis. Die Erprobungsfassung ist auf den Seiten des ULD zu finden und sei dem Leser ans Herz gelegt.  

2) Die Dokumentationspflicht erstreckt sich bei hohem Risiko für die Rechte und Pflichten natürlicher Personen auch für die Abschätzung der Folgen der vorgesehenen Verarbeitung. (Art. 35)

3) Die Bestellung/Benennung des betrieblichen Datenschutzbeauftragten sollte der Stellung des Datenschutzbeauftragten nach DSVGO angepasst werden (Art. 38). Gemeinsame Datenschutzbeauftragte können nun zum Einsatz kommen.

4) Da sich die Rechtsgrundlage für Auftragsdatenverarbeitung und Einwilligung ändert, sind die entsprechenden Verträge bzw. Einwilligungserklärungen auf den neuen Stand zu bringen.

Für weiterführende Fragen, Anregungen, Diskussionen oder Kommentare verwenden Sie gerne die Kommentarfunktion.