Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.
Alle News & Events anzeigen
18.01.2017
Die EU-Datenschutzgrundverordnung – Was kommt auf Unternehmen der Süßwarenwirtschaft zu?
Am 14. April 2016 hat das Europäische Parlament die „Verordnung des Rates und des Europäischen Parlaments zum Schutz natürlicher Personen (DS-GVO)“ verabschiedet. Sie ist nach Veröffentlichung im Amtsblatt der EU am 25. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 Geltung haben.
Während die Datenschutzrichtlinie 95/46/EG von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, was zu Unschärfen und Unterschieden führte, wird die DS-GVO unmittelbar anwendbares Recht mit verbindlichen Vorgaben in allen europäischen Mitgliedsstaaten. Unterschiede bleiben künftig nur noch dort, wo die EU-Mitgliedsstaaten bereichsspezifische Regelungen erlassen dürfen (sogenannte Öffnungsklauseln).
Wesentliche Neuerungen für die Unternehmenspraxis
1. Anwendungsbereich
Die grundlegendste Neuerung betrifft den Anwendungsbereich. Bislang war es schwierig, im Nicht-EU-Ausland tätige Datenverarbeiter zu erfassen. Die DS-GVO hat demgegenüber einen weiten Anwendungsbereich und findet nicht nur auf verantwortliche Stellen innerhalb der EU, sondern auch auf Unternehmen außerhalb der EU und Auftragsdatenverarbeiter Anwendung, sofern diese ihre Aktivitäten auf EU-Bürger ausrichten (sogenanntes Marktortprinzip, Artikel 3 Abs. 2 EU-DSGVO).
2. Erweiterte Dokumentations- und Nachweispflichten
Die DS-GVO sieht für Verantwortliche und Auftragsdatenverarbeiter deutlich erweiterte Nachweispflichten vor. Artikel 5 Abs. 2 DS-GVO schreibt vor, dass der für die Verarbeitung Verantwortliche nachweisen können muss, dass er die in Artikel 5 Abs. 1 DS-GVO geregelten Datenschutzgrundsätze einhält. Unternehmen müssen im Ergebnis somit zukünftig im Streitfall beweisen können, dass sie die Anforderungen der DS-GVO umsetzen.
3. Risikobasierter Datenschutz
Die von der DS-GVO geforderten Maßnahmen stehen in direkter Abhängigkeit zu den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringt. Unternehmen müssen daher zukünftig Datenschutz-Management-Systeme nach dem Vorbild entsprechender Compliance-Strukturen etablieren.
4. Datenschutzfolgenabschätzung
Die DS-GVO führt eine sogenannte Datenschutzfolgenabschätzung neu ein. Hat eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge, so muss der Verantwortliche eine solche Folgenabschätzung nach Artikel 35 DS-GVO durchführen. Ergibt die Prüfung, dass ein hohes Risiko für personenbezogene Daten besteht, muss die verantwortliche Stelle die Aufsichtsbehörde zur Beratung und Risikominimierung hinzuziehen.
5. Datenschutz durch Technik datenschutzfreundliche Voreinstellungen
Datenschutz durch Technik bedeutet, dass bereits während der Entwicklung angemessene technische und organisatorische Maßnahmen zu ergreifen sind, um einen angemessenen Datenschutzstandard zu erreichen. Zudem sollten IT-Systeme so voreingestellt werden, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist. Verstöße gegen die Gebote des Artikels 25 DS-GVO sind bußgeldbewehrt, was das BDSG bislang nicht vorsah.
6. Auftragsdatenverarbeitung
Artikel 28 DS-GVO regelt die Verarbeitung von Daten im Auftrag des Verantwortlichen. Nach Artikel 28 Abs. 1 DS-GVO muss der sogenannte Auftragsverarbeiter hinreichend Garantien dafür bieten, das er geeignete technische und organisatorische Maßnahmen durchführt, personenbezogene Daten im Einklang mit den Anforderungen der Verordnung verarbeitet und den Schutz der Rechte der betroffenen Personen gewährleistet.
Die Auftragsdatenverarbeitung erfolgt auf der Grundlage eines Vertrages, in dem Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festgelegt sind. Im Hinblick auf die Nachweispflichten des Verantwortlichen nach Artikel 24 Abs. 1 DS-GVO wird zukünftig dem Vertrag zur Auftragsverarbeitung eine entscheidende Bedeutung zukommen.
7. Verschärfte Sanktionen und Haftungsregelungen
Die DS-GVO sieht wesentliche Neuerungen bei den Sanktionen bei Datenschutzverstößen und deren Durchsetzung vor. Während nach dem BDSG bei Datenschutzverstößen ein Bußgeld in Höhe von bis zu 50.000,00 EUR oder 300.000,00 EUR verhängt werden kann und gegebenenfalls Gewinne abgeschöpft werden können, sind die Sanktionen bei Datenschutzverstößen nach der DS-GVO viel weitreichender. Neben Schadensersatzklagen drohen bei Datenschutzverstößen Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. EUR. Weiterhin ergeben sich Haftungsverschärfungen für Auftragsdatenverarbeiter. Sie werden zukünftig stärker zur Verantwortung gezogen und haften gegenüber betroffenen Personen gesamtschuldnerisch mit der verantwortlichen Stelle.
8. Projektplanung zur Umsetzung der DS-GVO
Die Umsetzung der DS-GVO ist für Unternehmen aus der Süßwarenwirtschaft mit Aufwand verbunden. Prozesse und Datenschutzkonzepte müssen auf die Vorgaben der Verordnung angepasst werden. Wegen der teilweise gravierenden Haftungsrisiken für Unternehmen und deren Entscheidungsträger sollten Unternehmen ein massives Interesse daran haben, effektive Strukturen und Prozesse zur Umsetzung der DS-GVO im Unternehmen bis zum 25. Mai 2018 zu etablieren.
Wesentliche Neuerungen für die Unternehmenspraxis
1. Anwendungsbereich
Die grundlegendste Neuerung betrifft den Anwendungsbereich. Bislang war es schwierig, im Nicht-EU-Ausland tätige Datenverarbeiter zu erfassen. Die DS-GVO hat demgegenüber einen weiten Anwendungsbereich und findet nicht nur auf verantwortliche Stellen innerhalb der EU, sondern auch auf Unternehmen außerhalb der EU und Auftragsdatenverarbeiter Anwendung, sofern diese ihre Aktivitäten auf EU-Bürger ausrichten (sogenanntes Marktortprinzip, Artikel 3 Abs. 2 EU-DSGVO).
2. Erweiterte Dokumentations- und Nachweispflichten
Die DS-GVO sieht für Verantwortliche und Auftragsdatenverarbeiter deutlich erweiterte Nachweispflichten vor. Artikel 5 Abs. 2 DS-GVO schreibt vor, dass der für die Verarbeitung Verantwortliche nachweisen können muss, dass er die in Artikel 5 Abs. 1 DS-GVO geregelten Datenschutzgrundsätze einhält. Unternehmen müssen im Ergebnis somit zukünftig im Streitfall beweisen können, dass sie die Anforderungen der DS-GVO umsetzen.
3. Risikobasierter Datenschutz
Die von der DS-GVO geforderten Maßnahmen stehen in direkter Abhängigkeit zu den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringt. Unternehmen müssen daher zukünftig Datenschutz-Management-Systeme nach dem Vorbild entsprechender Compliance-Strukturen etablieren.
4. Datenschutzfolgenabschätzung
Die DS-GVO führt eine sogenannte Datenschutzfolgenabschätzung neu ein. Hat eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge, so muss der Verantwortliche eine solche Folgenabschätzung nach Artikel 35 DS-GVO durchführen. Ergibt die Prüfung, dass ein hohes Risiko für personenbezogene Daten besteht, muss die verantwortliche Stelle die Aufsichtsbehörde zur Beratung und Risikominimierung hinzuziehen.
5. Datenschutz durch Technik datenschutzfreundliche Voreinstellungen
Datenschutz durch Technik bedeutet, dass bereits während der Entwicklung angemessene technische und organisatorische Maßnahmen zu ergreifen sind, um einen angemessenen Datenschutzstandard zu erreichen. Zudem sollten IT-Systeme so voreingestellt werden, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist. Verstöße gegen die Gebote des Artikels 25 DS-GVO sind bußgeldbewehrt, was das BDSG bislang nicht vorsah.
6. Auftragsdatenverarbeitung
Artikel 28 DS-GVO regelt die Verarbeitung von Daten im Auftrag des Verantwortlichen. Nach Artikel 28 Abs. 1 DS-GVO muss der sogenannte Auftragsverarbeiter hinreichend Garantien dafür bieten, das er geeignete technische und organisatorische Maßnahmen durchführt, personenbezogene Daten im Einklang mit den Anforderungen der Verordnung verarbeitet und den Schutz der Rechte der betroffenen Personen gewährleistet.
Die Auftragsdatenverarbeitung erfolgt auf der Grundlage eines Vertrages, in dem Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festgelegt sind. Im Hinblick auf die Nachweispflichten des Verantwortlichen nach Artikel 24 Abs. 1 DS-GVO wird zukünftig dem Vertrag zur Auftragsverarbeitung eine entscheidende Bedeutung zukommen.
7. Verschärfte Sanktionen und Haftungsregelungen
Die DS-GVO sieht wesentliche Neuerungen bei den Sanktionen bei Datenschutzverstößen und deren Durchsetzung vor. Während nach dem BDSG bei Datenschutzverstößen ein Bußgeld in Höhe von bis zu 50.000,00 EUR oder 300.000,00 EUR verhängt werden kann und gegebenenfalls Gewinne abgeschöpft werden können, sind die Sanktionen bei Datenschutzverstößen nach der DS-GVO viel weitreichender. Neben Schadensersatzklagen drohen bei Datenschutzverstößen Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. EUR. Weiterhin ergeben sich Haftungsverschärfungen für Auftragsdatenverarbeiter. Sie werden zukünftig stärker zur Verantwortung gezogen und haften gegenüber betroffenen Personen gesamtschuldnerisch mit der verantwortlichen Stelle.
8. Projektplanung zur Umsetzung der DS-GVO
Die Umsetzung der DS-GVO ist für Unternehmen aus der Süßwarenwirtschaft mit Aufwand verbunden. Prozesse und Datenschutzkonzepte müssen auf die Vorgaben der Verordnung angepasst werden. Wegen der teilweise gravierenden Haftungsrisiken für Unternehmen und deren Entscheidungsträger sollten Unternehmen ein massives Interesse daran haben, effektive Strukturen und Prozesse zur Umsetzung der DS-GVO im Unternehmen bis zum 25. Mai 2018 zu etablieren.
Teilen
Autor/innen
