Es ist nur noch rund ein hal­bes Jahr, bis für schlecht vor­be­rei­te­te Unter­neh­men das Worst-Case-Sze­na­rio ein­tre­ten könn­te. Sie müs­sen kein Anbie­ter von Smart-Home-Tech­no­lo­gie oder ein gro­ßer Ver­sand­händ­ler sein. Wenn am 25. Mai 2018 die EU-wei­te Daten­schutz-Grund­ver­ord­nung (DSGVO) in Kraft tritt, dro­hen schlecht vor­be­rei­te­ten Unter­neh­men Wett­be­werbs­nach­tei­le und deut­lich höhe­re Stra­fen, als bis­her gewohnt.

Das deut­sche Bun­des­da­ten­schutz­ge­setz (BDSG) sieht Buß­gel­der von höchs­tens 300.000 Euro für Ver­stö­ße vor, und in der Pra­xis lagen die tat­säch­lich ver­häng­ten Gel­der häu­fig deut­lich nied­ri­ger. Das neue EU-Recht sieht Stra­fen von bis zu 20 Mil­lio­nen Euro oder vier Pro­zent des Vor­jah­res­um­sat­zes vor. Wir erwar­ten hier außer­dem eine euro­pa­wei­te Anglei­chung der tat­säch­lich ver­häng­ten Stra­fen. Die in Deutsch­land übli­che Pra­xis, häu­fig eher am unte­ren Ende des mög­li­chen Straf­ma­ßes zu agie­ren, dürf­te damit Geschich­te sein.

Die gute Nach­richt: Noch ist genug Zeit, die­sen dro­hen­den Nach­teil in einen Wett­be­werbs­vor­sprung zu ver­wan­deln. Gut vor­be­rei­te­te Unter­neh­men kön­nen die Ein­hal­tung der neu­en EU-DSGVO in ihrer Kom­mu­ni­ka­ti­on posi­tiv her­vor­he­ben. Frei nach dem Mot­to: Bei uns bekom­men Sie den welt­bes­ten Daten­schutz nach EU-Recht.

 

Die­se Din­ge gilt es zu beach­ten

 

  • Per­so­nal:
    Bestim­men Sie einen Daten­schutz­be­auf­trag­ten. Für Unter­neh­men mit zehn oder mehr Mit­ar­bei­tern ist das zukünf­tig Pflicht. Eben­so für Unter­neh­men, die regel­mä­ßig beson­de­re per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten – zum Bei­spiel Bank­ver­bin­dun­gen oder Daten zum Kun­den­ver­hal­ten. Der oder die Beauf­trag­te soll­te neben juris­ti­schen Kennt­nis­sen zum Daten­schutz auch wis­sen, wie IT-Sys­te­me funk­tio­nie­ren und effek­tiv gesi­chert wer­den kön­nen.
  • Haf­tung:
    Die EU-DSGVO sieht die Beweis­pflicht, dass ihre Rege­lun­gen ein­ge­hal­ten wer­den, bei den Unter­neh­men. Dazu braucht es ein pro­fes­sio­nel­les Daten­schutz­ma­nage­ment­sys­tem, um die Mit­ar­bei­ter zu ent­las­ten und Haf­tungs­ri­si­ken zu ver­mei­den.
  • Fol­gen­ab­schät­zung:
    Die neue Ver­ord­nung for­dert eine so genann­te Daten­schutz-Fol­ge­ab­schät­zung (DSFA). Das heißt, dass jedes Unter­neh­men doku­men­tie­ren muss, dass es sich mit mög­li­chen Gefah­ren beschäf­tigt hat, bevor es Daten erhebt. Kon­kret heißt das: Könn­ten durch bestimm­te Daten die Rech­te oder Frei­hei­ten von Kun­den oder Ange­stell­ten ver­letzt wer­den, so muss das Unter­neh­men die­se Fol­gen vor der Daten­er­he­bung abschät­zen – und die­sen Vor­gang im Zwei­fel nach­wei­sen kön­nen.
  • Lösch­pflicht:
    Die DSGVO endet nicht im eige­nen Unter­neh­men. Besteht ein Kun­de auf sein gesetz­li­ches Recht auf Ver­ges­sen­wer­den und for­dert die Löschung sei­ner Daten, reicht es nicht, die­se aus den eige­nen Sys­te­men zu ent­fer­nen. Als Unter­neh­men müs­sen Sie auch Drit­te, die die­se Daten ver­ar­bei­tet oder ver­öf­fent­licht haben, von der Löschung infor­mie­ren und die­se durch­set­zen.
  • Schwach­stel­len besei­ti­gen:
    Ist Ihre IT nicht auf dem Stand der Tech­nik, kann das künf­tig sehr teu­er wer­den. Wer­den bei Ihnen tech­ni­sche oder orga­ni­sa­to­ri­sche Schwä­chen beim Daten­schutz ent­deckt – etwa durch ein ver­meid­ba­res Daten­leck – beträgt die Stra­fe künf­tig bis zu zwei Pro­zent des Vor­jah­res­um­sat­zes.
  • Por­ta­bi­li­tät:
    Sie müs­sen für die Por­ta­bi­li­tät von per­so­nen­be­zo­ge­ne Daten sor­gen, die Sie gespei­chert haben. Auf Antrag müs­sen Unter­neh­men jeder­zeit dazu in der Lage sein, die­se in einem gän­gi­gen und maschi­nen­les­ba­ren For­mat an ein ande­res Unter­neh­men zu über­mit­teln.
  • Inter­na­tio­na­le Geschäf­te:
    Die DSGVO beinhal­tet zwar rund 60 Öff­nungs­klau­seln, die es ein­zel­nen EU-Mit­glieds­staa­ten erlau­ben, vom euro­päi­schen Stan­dard abzu­wei­chen. Beson­ders Unter­neh­men, die in meh­re­ren EU-Mit­glieds­staa­ten aktiv sind, soll­ten von even­tu­el­len Erleich­te­run­gen trotz­dem kei­nen Gebrauch machen. Nur, wer die neue DSGVO voll­stän­dig umsetzt, ist in jedem Fall auf der siche­ren Sei­te.

Wenn Sie Fra­gen zur DSGVO haben oder wenn ich Sie bei der Umset­zung unter­stüt­zen kann, mel­den Sie sich ger­ne bei mir per E‑Mail oder über mei­ne Mit­ar­bei­te­rin, Frau Xhon­neux tele­fo­nisch unter (0241) 94621–120.


Dr. Eric Heit­zer ist Rechts­an­walt (u.a. mit dem Fach­ge­biet IT und Daten­schutz) und Bank­kauf­mann.

Er hat für ver­schie­de­ne Unter­neh­men, bei­spiels­wei­se in der TK-Bran­che, die Auf­ga­ben eines exter­nen Daten­schutz­be­auf­trag­ten wie auch die des aus­ge­la­ger­ten Com­pli­ance-Offices über­nom­men.

News­let­ter-Anmel­dung

Ja, ich habe die Daten­schutz­er­klä­rung zur Kennt­nis genom­men und bin mit Absen­den des Kon­takt­for­mu­la­res mit der elek­tro­ni­schen Ver­ar­bei­tung und Spei­che­rung mei­ner Daten ein­ver­stan­den. Mei­ne Daten wer­den dabei nur streng zweck­ge­bun­den zur Bear­bei­tung und Beant­wor­tung mei­ner Anfra­ge benutzt.

Über den Autor

  • Dr. Eric Heitzer

    Dr. Eric Heit­zer ist zuge­las­se­ner Rechts­an­walt seit 1997 (u.a. mit dem Fach­ge­biet IT und Daten­schutz) und Bank­kauf­mann. Er hat für ver­schie­de­ne Unter­neh­men die Auf­ga­ben eines exter­nen Daten­schutz­be­auf­trag­ten wie auch die des aus­ge­la­ger­ten Com­pli­ance-Offices über­nom­men.