Das hier ist ein Weckruf! Es soll nämlich immer noch Unternehmen und Selbstständige geben, die den Schuss nicht gehört haben: Ab 25. Mai 2018 wird die Datenschutz-Grundverordnung der EU (EU-DSGVO) umgesetzt, die bereits 2016 in Kraft getreten ist. Wer die zweijährige Frist zur Umstellung auf die neuen Bestimmungen verschlafen hat, könnte unliebsame Bekanntschaft mit drakonischen Strafen für Verstöße gegen die Verordnung machen. Bis zu 20 Mio. Euro oder 4 % des Umsatzes drohen – je nachdem, was höher ist! Zur Halbzeit der Umsetzungsfrist hatten sich laut einer Bitkom-Studie erstaunliche 44 % der Unternehmen nicht einmal mit der Verordnung irgendwie beschäftigt – geschweige denn die erforderlichen Maßnahmen in Angriff genommen.
EU-weit gleiche Regeln – mehr Sicherheit, aber auch mehr Aufwand
Inwieweit die Datenschutz-Grundverordnung den eigentlichen Datenschutz verbessert bzw. seine Durchsetzung erleichtert, war und ist unter Juristen und Datenschützern umstritten. Ungeachtet dessen ist klar: Die Umsetzung der Verordnung muss bis 25.8.2017 abgeschlossen (!) sein. Das gilt für alle (auch Organisationen mit Sitz außerhalb der EU), die personenbezogene Daten im Gebiet der EU speichern und verarbeiten. Und es gilt unmittelbar, d. h., nationale Bestimmungen dürfen die Vorschriften weder abschwächen noch verschärfen. Von einer Reihe der Bestimmungen sind auch Kleinunternehmen und Freiberufler betroffen.
Eine Vereinfachung und damit auch mehr Rechtssicherheit bringt die DSGVO bei allen grenzüberschreitenden Geschäften innerhalb der EU, denn hier gelten nun in allen Staaten im Wesentlichen die gleichen Bestimmungen. Die Ausnahmen sind überschaubar – aber auch nicht unwichtig. National geregelt bleibt z. B. die Arbeitnehmerdatenverarbeitung.
Datenschutz-Grundverordnung – die wichtigsten Regeln
Das zentrale Prinzip der DSGVO ist, dass für jede Erhebung und Verarbeitung personenbezogener Daten eine rechtliche Grundlage erforderlich ist, dass sich der Umfang und die Dauer dieser Datenverarbeitung/-speicherung auf das erforderliche Maß beschränkt sowie zweckgebunden und vertraulich bleibt. Kurz gesagt gilt: Es ist alles verboten, was die Verordnung nicht ausdrücklich erlaubt.
Die Datenschutz-Grundverordnung ist sehr umfangreich; die eigentlichen Artikel beginnen erst nach 173 Präambel-Abschnitten. Im Folgenden sind daher nur Beispiele für wesentliche bzw. neue Regelungen aufgeführt:
Fazit: Packen Sie es an – jetzt!
Datenschutz kann zukünftig nicht mehr mit links erledigt werden. Es ist höchste Zeit für Unternehmen jeder Größenordnung, die erforderlichen Maßnahmen und Verfahren gezielt und zügig zu entwickeln, und die entsprechenden Ressourcen inkl. Budgets einzuplanen, auch wenn Klein- und Mittelunternehmen (ein wichtiger Schwellenwert sind hier 250 Beschäftigte) von einigen Verpflichtungen entlastet sind. Es kann sich durchaus lohnen, im Zweifel professionelle Hilfe in Anspruch zu nehmen.
Verpassen Sie keinen Blog-Eintrag mehr!
Mehr zum Thema Rechtsfragen
Erfahren Sie mehr Grundlagen und Wissenswertes zum Thema.
UPDATE FÜR BETREIBER VON WEBSITES MIT DEM CMS WORDPRESS.COM:
Automattic, die Entwickler von WordPress.com, haben jetzt mitgeteilt, dass sie daran arbeiten, das CMS bis Mai 2018 mit den Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) in Übereinstimmung zu bringen. Dazu sollen u. a. Features gehören, die Nutzern mehr Wahlmöglichkeiten hinsichtlich der Verarbeitung ihrer Daten bieten.
Ein kritischer Bereich wird dabei die Frage der Weitergabe von Nutzerdaten an US-Behörden sein. Inwieweit hier volle Übereinstimmung mit europäischem Recht erreichbar wird, ist derzeit noch nicht klar.