Die EU-DSGVO wurde am 25. Mai 2018 wirksam. Die Verordnung löste die bis dahin geltenden nationalen Datenschutzgesetze wie das BDSG und die Landesdatenschutzgesetze weitgehend ab. Nationale Gesetze können die DSGVO nur spezifizieren, sofern in der DSGVO eine Öffnungsklausel dafür vorgesehen ist.

Trotz eilig auf den Markt geworfener Kommentare und vieler Schulungsangebote der unterschiedlichsten Anbieter: Die konkrete praktische Umsetzung der DSGVO wirft viele Fragen auf, da dem Gesetz deutlich anzumerken ist, dass es in einem komplizierten Verfahren ausgehandelt wurde. Besonders die Frage, was die Unternehmen tun müssen, um den geforderten Nachweis einer Datenschutz-Compliance zu erbringen, wird sehr unterschiedlich beurteilt. Auch die Aufsichtsbehörden haben bislang noch keine verbindlichen Stellungnahmen abgeben, die wesentlich mehr beinhalten als der Gesetzestext. Siehe dazu die Veröffentlichungen der DSK.

Dazu kommt, dass die nationalen Ergänzungen der EU-Datenschutzgrundverordnung erst in Teilen vorliegen. In Deutschland wurde das Datenschutz-Anpassungs- und Umsetzungsgesetz verabschiedet, die Inhalte sind umstritten. Die Landesdatenschutzgesetze sollen erst noch angepasst werden, gleiches gilt für die bereichsspezifischen Bestimmungen zum Datenschutz.

Die Grundlage für die Compliance Ihres Unternehmens zur Datenschutzgrundverordnung sollte ein Datenschutzkonzept sein, wie es auch schon bisher sinnvollerweise erstellt wurde. Ergänzend dazu muss geprüft werden, ob für Ihr Unternehmen neue Anforderungen gelten. Dies wird vor allem für Auftragnehmer gelten, die schon bisher als Auftragsdatenverarbeiter tätig waren. Ansonsten muss seriöserweise abgewartet werden, welche Vorgaben durch den Europäischen Datenschutzausschuss, die Aufsichtsbehörden und eventuell sogar Gerichtsentscheidungen den Gesetzestext präzisieren.

Ich biete Ihnen an, Ihr Unternehmen bzw. Ihren betrieblichen Datenschutzbeauftragten bei der Einhaltung der neuen Anforderungen zu beraten.

Einige der wichtigsten Veränderungen durch die EU-Datenschutzgrundverordnung sind:

• einheitliches Datenschutzrecht in allen EU-Ländern

• territoriale Geltung (wer in der EU personenbezogene Daten verarbeitet oder Daten von EU-Bürgern verarbeitet, unterliegt diesem Recht)

• enge internationale Kooperation der Aufsichtsbehörden bei Beschwerden

• neue Definition der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

• besondere Regeln für die Einwilligung bei Kindern

• Unternehmen müssen Transparenz über die Datenverarbeitung herstellen

• besondere Genehmigungsverfahren für riskante Datenverarbeitungen (Risikofolgensbschätzung)

• Recht auf Mitnahme eigener Daten zu anderen Anbietern

• drastische Bußgelder bei schweren Datenschutzverstößen