11
Apr
2016

Neuer EU-Datenschutz am 14. April 2016 verabschiedet

Am 14. April 2016 verabschiedete das EU-Parlament die EU-Datenschutz-Grundverordnung (DS-GVO) . Die DS-GVO bringt umfangreiche neue Anforderungen für Unternehmen. Sie tritt 2018 in Kraft. Die deutsche Fassung der vom EU-Rat bereits gebilligten und am 14. April 2016 auch vom EU-Parlament angenommen EU-Verordnung finden Sie hier.

Das Wichtigste zur DS-GVO finden Sie hier als Überblick:

  • Wen betrifft die Neuregelung: Alle Unternehmen, die personenbezogene Daten verarbeiten (z.B. Kunden- oder Mitarbeiterdaten) müssen die Vorgaben der DS-GVO umsetzen. Das gilt beispielsweise für sämtliche Unternehmen, die Gerichtsverfahren führen, CRM- oder Personaldatensysteme vorhalten oder interne Ermittlungen durchführen.

 

  • Was ändert sich: Zu den wichtigsten Neuerungen zählen Ansprüche auf immateriellen Schadensersatz mit einer Beweislast des Unternehmens, Bußgelder von bis zu vier Prozent des globalen Unternehmensumsatzes beziehungsweise bis zu 20 Millionen für betroffene Manager oder andere Entscheidungsträger. Zusätzliche Informationen zu zu den Bußgeldrisiken nach der DS-GVO finden Sie hier. Weitgehend jede maßgebliche Vorgabe der DS-GVO ist bußgeldbewehrt. Das wirkt sich beispielsweise auch auf IT-Security und Cybersecurity aus. Fehler bei der Datensicherheit ziehen Bußgelder von bis zu 2 Prozent des globalen Umsatzes nach sich. Die Verordnung wird auch über die EU hinaus extraterritorial wirken. Einen Überblick über die wichtigsten Änderungen und einen Ablaufplan für die Implementierung im Unternehmen finden Sie hier. Hinzu kommen vor allem noch umfassende Transparenz-, Informations- und Dokumentationspflichten.

 

  • Compliance-Folgen: Durch die ausgesprochen hohen Bußgelder wirkt sich die DS-GVO auch auf Compliance-Abläufe aus. Zum einen müssen mögliche Fehler beim Datenschutz wegen der hohen Bußgelder und möglichen Schadensersatzansprüche im Rahmen von Gefährdungsanalysen neu bewertet werden. Zum anderen werden auch Compliance-Kontrollen und interne Ermittlungen durch die neuen Anforderungen und Sanktionen komplexer. Weitere Informationen finden zu den Auswirkungen auf unsere Compliance-Beratung finden Sie hier.

 

  • Arbeitnehmerdatenschutz: Viele Regelungen der DS-GVO betreffen den Datenschutz am Arbeitsplatz. Beispielsweise wird es nicht leicht für Arbeitgeber, die neuen Anforderungen zur Transparenz bei der Datenverarbeitung auch im Rahmen des Beschäftigtendatenschutzes zu erfüllen. Auch bei Betriebsvereinbarungen gibt es teilweise erheblichen Änderungsbedarf. Weitere Einzelheiten hierzu finden Sie hier.

 

  • Was sollten Unternehmen jetzt tun: Firmen sollten die einzelnen Phasen der Umsetzung der neuen Anforderungen in der Praxis zügig planen. Sie sollten analysieren, welche Veränderung die DS-GVO gegenüber dem bisherigen Datenschutz bringt und wie sich dies in der Praxis auswirkt. Projekte zur Implementierung des neuen EU-Datenschutzrechts sollten von der ersten Budgetplanung („Wieviel geben andere Unternehmen hier aus?„) über eine Gap-Analyse und eine Risikobewertung bis hin zur Umsetzung neuer Datenschutz Management Strukturen und der Kontrolle einzelner Prozesse professionell geplant sein.


  • Fazit: Die Änderungen sind gravierend. Trotzdem haben manche Unternehmen noch nicht begriffen, was da im Einzelnen auf sie zukommt: Millionenbußgelder, eine verschärfte zivilrechtliche Haftung auch für immaterielle Schäden mit Beweislastumkehr und einem Verbandsklagerecht, umfassende Pflichten bei der Unterrichtung über Datenverarbeitungen oder der Dokumentation von Datenschutzprozessen sowie weitgehende Meldepflichten bei Datenpannen. Die zweijährige Umsetzungsfrist ist kurz. Die Neuregelung betrifft jeden Unternehmensbereich, der personenbezogene Daten verarbeitet. In der Praxis sind das vor allem Informationen über Kunden oder Mitarbeiter. Unternehmen müssen ihre IT-Strukturen und Geschäftsprozesse teilweise erheblich umstellen. Tun sie dies nicht, drohen Unternehmen neben Schadensersatzprozessen Bußgelder von bis zu vier Prozent des globalen (Konzern-)Umsatzes. Entscheidungsträger müssen bei Datenschutzverstößen künftig mit Geldbußen von bis zu 20 Millionen Euro rechnen. Viele Firmen haben ihre Budgets bereits beantragt und entsprechende Projekte aufgesetzt. Hierbei sind nicht nur die Bereiche Datenschutz und IT betroffen, sondern auch Personal, Recht, Revision und vor allem die operativen Unternehmensfunktionen, da gerade diese oft auf umfangreiche Datenverarbeitungen angewiesen sind. Neben einer professionellen Projektplanung ist es für die Umstellung auf das neue Datenschutzrecht entscheidend, die komplexen rechtlichen Anforderungen zu verstehen und in praktikable und wirksame Lösungen umzusetzen.

 

Hintergrundinformationen

Die Pressemeldung des EU-Rats zur  Verabschiedung der EU-Datenschutz-Grundverordnung finden Sie hier: http://www.consilium.europa.eu/en/press/press-releases/2016/04/08-data-protection-reform-first-reading/

Die vom EU-Rat verabschiedete englische Fassung der Verordnung können Sie hier abrufen: http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf

Die deutsche Fassung der vom EU-Rat verabschiedeten EU-Datenschutz-Grundverordnung finden Sie hier: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN

Die Agenda für die Sitzung des EU-Parlaments am 14. April 2016 können Sie hier abrufen: http://www.europarl.europa.eu/news/de/news-room/agenda/2016-W15-By-Day#plenarysession-14-04-2016

 

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)