Neues, strenges Datenschutzrecht tritt am 25. Mai 2018 in Kraft

Ab dem 25. Mai 2018 werden die Regelungen der Datenschutz-Grundverordnung (DSGVO)
unmittelbar geltendes Recht in allen Staaten der Europäischen Union (EU). Damit wird ein einheitliches
Datenschutzniveau in den Mitgliedstaaten gewährleistet. Die Wahlmöglichkeiten, welche die DSGVO
vorsieht, hat Deutschland im Bundesdatenschutzgesetz (BDSG neu) ausgeübt. Das BDSG neu tritt
ebenfalls am 25. Mai 2018 in Kraft.

Die Datenschutzaufsichtsbehörden erhalten zur Durchsetzung umfangreiche Befugnisse und haben
demgemäß ihre Personalkapazitäten aufgestockt. Flankiert werden die erweiterten Befugnisse durch eine
Ausweitung des Bußgeldrahmens bei Verstößen. Bisher konnten max. 300.000 € als Bußgeld festgesetzt
werden. Zukünftig sind Bußgelder bis 20 Millionen € oder 4 % vom Jahresumsatz zulässig, wobei der
jeweils höhere Wert gilt.
Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten natürlicher Personen, ohne
dies genauer zu definieren. Im Zweifel sollte, z. B. bei der Speicherung einer IP-Adresse, vom
Personenbezug ausgegangen werden.
Anzuwenden sind die Datenschutzbestimmungen, wenn die Verarbeitung der Daten im Rahmen der
Tätigkeiten einer Niederlassung in der EU erfolgt. Die Verarbeitung selbst kann auch außerhalb der EU
stattfinden. Hat ein Unternehmen seine Niederlassung außerhalb der EU, muss es die Regelungen
trotzdem beachten, wenn es Waren oder Dienstleistungen in der EU anbietet und die Datenverarbeitung
mit seinem Angebot zusammenhängt.

Folgende Grundprinzipien sind zu beachten:

• Verbot mit Erlaubnisvorbehalt: Die Verarbeitung personenbezogener Daten ist grundsätzlich
verboten, es sei denn, es liegt eine Einwilligung oder eine in der DSGVO normierte Ausnahme vor.
Eine solche Ausnahme kann z. B. die Verarbeitung zur Erfüllung eines Vertrags oder zur Erfüllung
einer rechtlichen Verpflichtung sein.
• Datensparsamkeit: Die Verarbeitung personenbezogener Daten muss auf das für den Zweck der
Verarbeitung notwendige Maß beschränkt sowie dem Zweck angemessen und sachlich relevant
sein.
• Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige
Zwecke erhoben werden.
• Datensicherheit: Der Unternehmer hat geeignete technische und organisatorische Maßnahmen zur
Datensicherheit umzusetzen. Dabei hat er neben dem Stand der Technik und den
Implementierungskosten, den Zweck der Datenverarbeitung, aber auch die
Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte zu
berücksichtigen. Eine Verletzung des Schutzes personenbezogener Daten muss der Unternehmer
unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die
zuständige Datenschutzbehörde melden. Es sei denn, die Verletzung führt voraussichtlich nicht zu
einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen.
• Betroffenenrechte: Unternehmen haben gegenüber den Betroffenen weitreichende
Informationspflichten zu erfüllen, z. B. über den Zweck und die Rechtsgrundlage der
Datenverarbeitung. Sie müssen gegenüber einer anfragenden Person Auskunft darüber geben, ob
und ggf. welche Daten dieser Personen sie verarbeitet haben. Darüber hinaus können Betroffene
von Unternehmen verlangen, dass unzutreffende personenbezogene Daten berichtigt oder Daten
gelöscht werden, weil z. B. die Einwilligung zur Datenverarbeitung widerrufen wurde.
• Datenschutz-Folgenabschätzung: Diese muss der Unternehmer vorab vorsorglich durchführen,
wenn die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die
persönlichen Rechte und Freiheiten birgt.
• Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist u. a. zu benennen, wenn ein deutsches
Unternehmen mehr als zehn Personen mit der automatisierten Verarbeitung personenbezogener
Daten beschäftigt. Muss ein Unternehmen eine Datenschutz-Folgenabschätzung durchführen, ist
ein Datenschutzbeauftragter unabhängig von der Anzahl der Beschäftigten, die personenbezogene
Daten verarbeiten, zu benennen.

Das neue Datenschutzrecht beinhaltet umfangreiche und detaillierte Pflichten für Unternehmen. Es
müssen interne Prozesse angepasst bzw. neu etabliert werden. Auch eine Schulung der Mitarbeiter ist
unerlässlich. Unternehmen sollten unverzüglich, ggf. unter Hinzuziehung ihres Rechtsberaters oder eines
Datenschutz-Dienstleisters, mit der Umsetzung beginnen.