Ab dem 25.5.2018 gelten neue Datenschutzbestimmungen, die grundsätzlich alle Unternehmen betreffen und in bestimmten Bereichen weitreichende Anpassungen erforderlich machen. Auslöser dafür ist die Europäische Datenschutz-Grundverordnung (DS-GVO).
Bereits am 25.5.2016 ist die DS-GVO in Kraft getreten. Nach einer Übergangszeit von zwei Jahren gilt sie ab dem 25.5.2018. Betroffen sind alle europäischen Unternehmen, die personenbezogene Daten erfassen und verarbeiten.
Die DS-GVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und schützt die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten.
Unternehmen müssen ein abgestimmtes, transparentes und nachvollziehbares System zur datenschutzrechtlichen Bewertung der Verarbeitung personenbezogener Daten aufbauen. Das bedeutet im Kern Folgendes:
- Grundlegende Anforderungen an die Sicherheit der Verarbeitung von personenbezogenen Daten sind einzuhalten.
- Geeignete technische und organisatorische Maßnahmen sind umzusetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Die Wirksamkeit der Maßnahmen ist regelmäßig zu prüfen und zu bewerten.
- Beweislastumkehr: Die Unternehmen müssen beweisen, dass sie die Vorschriften einhalten.
Bei einem Verstoß drohen hohe Strafen. Die maximale Geldbuße beträgt bis zu 20 Mio. EUR oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Es gilt der Wert, der höher ist.
Praxishinweis: Weitere Hinweise zur DS-GVO finden Sie u. a. im Internetauftritt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (unter: www.iww.de/s400).
[Quelle:Europäische Datenschutz-Grundverordnung (2016/679/EU-DS-GVO; EU-Kommission, Pressemitteilung vom 24.1.2018]