Ab Mai 2018 gilt in der Europäischen Union ein neues Datenschutzrecht, das in allen EU-Mitgliedsstaaten unmittelbar gilt. Kanzleien und Unternehmen müssen ihre Prozesse, Regelwerke und vertraglichen Formulierungen anpassen. Hierfür verbleibt nicht einmal mehr ein Jahr. Der im Vergleich zum bisherigen BDSG drastisch erhöhte Sanktionsrahmen bis 20 Millionen Euro bzw. bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes (es gilt der jeweils höhere Betrag) macht deutlich, dass der Gesetzgeber die Forderung eines regelkonformen Umgangs mit personenbezogenen Daten absolut ernst nimmt.
Auch der deutsche Gesetzgeber hat von seinen Regelungsmöglichkeiten Gebrauch gemacht.Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) wurden erforderliche Festlegungen zu Aufsichtsbehörden, Beschränkungen der Rechte der betroffenen Personen und zur Einschränkung der Befugnisse von Aufsichtsbehörden vorgenommen. Diese Regelungen sind in das neue Bundesdatenschutzgesetz (BDSG-neu) eingeflossen. Das neue BDSG wird das bisherige BDSG ersetzen und wie die DS-GVO ab dem 25.05.2018 gelten.
Ein wichtiger Baustein, den Kanzleien und Unternehmen künftig stärker berücksichtigen und ggfs. auch überarbeiten müssen, ist die Auftragsdatenverarbeitung (ADV). Die vertraglichen Grundlagen zur Auftragsdatenverarbeitung (ein Beispiel ist die Nutzung der Dienstleistungen der DATEV eG durch Steuerberater oder Unternehmen) müssen an die neuen gesetzlichen Regelungen angepasst werden. Wichtig ist, den erweiterten Dokumentations- und Nachweispflichten der DS-GVO gerecht zu werden. Abweichend zur BDSG-Novelle 2009 können datenschutzrechtliche Vertragsgrundlagen zur Abwicklung der Auftragsdatenverarbeitung im elektronischen Format (z.B. via Zustimmung auf einer Internet-Seite) geschlossen werden.
Unternehmen und Kanzleien müssen sich mit dem neuen Datenschutzrecht auseinandersetzen. Datenverarbeitungsprozesse in Unternehmen und Kanzleien sind auf den Prüfstand zu stellen. So muss z.B. im Falle einer Datenpanne binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen (Art. 33 Abs. 1 DS-GVO). Die möglichen Betroffenen sind ebenfalls unverzüglich zu informieren (Art. 34 Abs. 1 DS-GVO). Um diesen Anforderungen gerecht zu werden, bedarf es organisatorischer Festlegungen, die sicherstellen, dass unmittelbar nach einem datenschutzrelevanten Vorfall, die gesetzlich geforderten Schritte erfolgen. So ist in einem ersten Schritt festzustellen, ob die aufgetretene Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Anschließend ist der Vorfall zu dokumentieren und der zuständigen Aufsichtsbehörde zu melden. Beispiele für relevante Vorfälle sind die BWA und / oder OPOS-Liste im Hausmüll und dann auf der Straße oder in den Händen des Müllverwerters. Sofern gegen die vorgenannten prozessualen Vorgaben verstoßen wird, beläuft sich der Bußgeldrahmen auf bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes der für die Datenverarbeitung verantwortlichen Stelle (Art. 83 Abs. 4 DS-GVO).
Die DS-GVO sieht erweiterte Rechenschafts- und Nachweispflichten vor (Art. 5 Abs. 2 DS-GVO). Diese haben unmittelbare Auswirkungen auf die Prozesse und Abläufe in Unternehmen und Kanzleien: Die verantwortliche Stelle muss nach Art. 5 Abs. 1 DS-GVO jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt, z.B. auf Grundlage von Einwilligungen und Verträgen mit Kunden und Mandanten.
Grundsätzlich gilt wie bisher, dass die Erhebung und Verarbeitung personenbezogener Daten nur für bestimmte und festgelegte Zwecke beschränkt auf die zur Zweckerfüllung notwendigen Daten erfolgen darf. Des weiteren müssen Prozesse definiert werden, welche die unverzügliche Berichtigung und / oder Löschung unrichtiger Daten regeln.
Die Speicherung nicht mehr benötigter Daten ist ausdrücklich untersagt. Die DS-GVO begründet eine Nachweispflicht des Unternehmens oder der Kanzlei.
Sprechen Sie uns auf das überaus komplexe Thema Datenschutz an.
