single.php
< Beitrag von Samira Nuhu

DSGVO-Basics: Die Pflichten der Unternehmen

Mit den Rechten der Verbraucher erweitert die DSGVO die Pflichten der Unternehmen im Hinblick auf die Verarbeitung personenbezogener Daten. Diese Erweiterung der Rechte und Pflichten basiert auf der klaren Erkenntnis, dass personenbezogene Daten längst zu einem Wirtschaftsgut geworden sind. Als Wirtschaftsgut sind Daten schützenswert und profitabel. Die DSGVO wird beiden Aspekten gerecht: Die Verordnung stärkt das Recht jedes einzelnen Bürgers, über die Verwendung seiner Daten selbst zu bestimmen, und schafft zugleich für die Unternehmen einen europaweit einheitlichen Bezugsrahmen für die Verarbeitung personenbezogener Daten.

 

 

1. Marktortprinzip statt Sitzortprinzip

Eine Neuerung der DSGVO gegenüber dem alten deutschen Datenschutzgesetz ist das Marktortprinzip. Diesem Prinzip zufolge müssen sich alle Unternehmen an die DSGVO halten, die

  • in der EU ansässig sind oder
  • eine Niederlassung in der EU haben oder
  • personenbezogene Daten von EU-Bürgern verarbeiten.

Damit gilt die Verordnung also auch für US-Firmen wie z. B. Google, Twitter, Facebook oder Microsoft, Konzerne, die sich bisher mit dem Verweis auf ihren Firmensitz im Ausland den nationalen Datenschutzgesetzen entzogen haben.

2. Nachweispflicht und Beweislastumkehr

Zukünftig muss nicht mehr der Betroffene nachweisen, dass der Schutz seiner Daten verletzt wurde. Vielmehr trägt neuerdings das datenverarbeitende Unternehmen die Beweislast und muss nachweisen, dass es DSGVO-konform arbeitet und alle Sicherheitsmaßnahmen eingehalten hat.

Mithilfe einer umfassenden Dokumentation muss das Unternehmen beweisen, dass es geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten umgesetzt hat. Die Dokumentation muss die Art, den Umfang, die Umstände und die Zwecke der Datenverarbeitung erfassen sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken berücksichtigen.

3. Dokumentationspflicht

Unternehmen sind bei der Verarbeitung personenbezogener Daten verpflichtet, jederzeit die Rechtmäßigkeit dieser Datenverarbeitung zu dokumentieren. Zu den wichtigsten Dokumenten zählen das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und die Beschreibung der Verarbeitungsprozesse wie z. B. die Prozesse zum Löschen von Daten oder der Meldeprozess im Falle einer Datenschutzverletzung.

4. Regelmäßige Risikobewertung (Datenschutz-Folgeabschätzung)

Wenn sich aus der Art, dem Umfang, den Umständen und Zwecken der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergibt, ist der Verantwortliche oder der beauftragte Datenverarbeiter verpflichtet, eine Datenschutz-Folgeabschätzung durchzuführen (Art. 35 DSGVO).

Mithilfe der Datenschutz-Folgeabschätzung können Risiken identifiziert, analysiert und bemessen werden. Auf dieser Basis kann dann entschieden werden, welche Maßnahmen ergriffen werden müssen, um die Risiken zu reduzieren.

Wenn die Folgeabschätzung zu dem Ergebnis kommt, dass ein Risiko zu hoch ist und eine Reduzierung des Risikos aus z. B. technischen oder finanziellem Gründen nicht möglich ist, so muss nach Art. 36 DSGVO vor der Datenverarbeitung, die Aufsichtsbehörde konsultiert werden.

5. Meldepflicht bei Datenschutzverletzungen

Die Unternehmen müssen jede Datenschutzverletzung innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Um dies zu gewährleisten, sollte jedes Unternehmen über eine schriftliche Dokumentation des Meldeprozesses verfügen.

6. Hohe Geldbußen bei Verstößen gegen die DSGVO

Bußgelder gegen Datenschutzverstöße schreibt schon das Bundesdatenschutzgesetz vor. Aber diese Geldstrafen sind bei Weitem nicht so hoch wie die, die mit der DSGVO auf die Unternehmen zukommen können. Je nach Schwere des Verstoßes müssen Unternehmen mit Bußgeldern von bis zu 4 % des Vorjahresumsatzes oder 20.000.000 € rechnen.

Hinzu kommt, dass die Art der Sanktionierung an das Kartellrecht angelehnt ist. Im Kartellrecht ist für die Bemessung des Bußgelds nicht nur der Umsatz des betroffenen Unternehmens, sondern der gesamten Unternehmensgruppe maßgeblich. Das gilt auch bei Verstößen gegen die DSGVO. Gerade für Konzerne oder andere Unternehmensverbände hat dies gravierende Folgen für die Bestimmung der Höhe möglicher Bußgelder.

Die Höhe der Geldbußen soll abschreckend wirken und signalisiert den Unternehmen die Dringlichkeit, in Sachen Datenschutz aktiv zu werden und die Pflichten der DSGVO zu erfüllen. Dabei kommt dem Datenschutzbeauftragten eine Schlüsselrolle zu. Mehr dazu im nächsten Blog-Beitrag von Samira Nuhu.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.