Mit 10 Fragen zur DSGVO

Wann? - Die DSGVO wirkt zwar erst ab dem 25. Mai 2018, jedoch sollten Unternehmen die Vorgaben der DSGVO bereits jetzt beachten.

Wer ist betroffen? – Alle Unternehmen, die personenbezogene Daten verarbeiten, auch wenn sie außerhalb der EU sitzen und Daten von EU-Bürgern verarbeiten.

Was bleibt? - Bisherige Datenschutzprinzipen und viele bisherige Regelungen finden sich in der DSGVO wieder.

Was ändert sich? – Es ändern sich sehr viele Details, weshalb alle Verarbeitungsprozesse überprüft werden müssen. Änderungen gibt es bei der Definition personenbezogener Daten, den Erlaubnisgrundlagen, Einwilligungen, Informationspflichten, Betroffenenrechten, Bußgeldern, Rechenschaftspflichten, Verantwortlichkeit von Auftragsdatenverarbeitern, etc.

Was ist Privacy bei Design? - Privacy by Design ist ein Grundsatz, der bereits im Rahmen der Entwicklung (zum Beispiel von Hardware oder Software) zur Beachtung der Datenschutzvorschriften verpflichtet.

Müssen Datenschutzerklärungen geändert werden? – Da Informationspflichten erhöht werden und zum Beispiel Hinweise auf die Rechtsgrundlagen der Verarbeitung enthalten müssen, wird ein Update notwendig.

Was ist die Accountability? - Die Rechenschaftspflicht (Accountability) ist eine zentrale Neuerung der DSGVO und erfordert die unternehmerischen Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie u.U. Datenschutzfolgeabschätzungen zu ergänzen.

Wie sind die Konsequenzen bei Nichtbeachtung? – Die Konsequenzen ändern sich drastisch. Der Bußgeldrahmen wird bis auf 20 Millionen Euro, bzw. vier Prozent des weltweiten Jahresumsatzes erhöht und Datenschutzbehörden werden angehalten, Bußgelder effektiver zu verhängen.

Wird das Datenschutzrecht einfacher? – Damit ist leider weniger zu rechnen, zumal neben der DSGVO auch nationale Datenschutzgesetze (in Deutschland BDSG-Neu) und die EU-ePrivacy-Verordnung (wird wahrscheinlich erst 2019 beschlossen) beachtet werden müssen.

Wie hoch ist der Umsetzungsaufwand? – Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben.