Datenschutz ist „Chefsache“ - Das müssen Sie wissen

So sehen die wichtigsten Pflichten und Handlungserfordernisse nach neuer Rechtslage aus.

Durch die am 25. Mai 2018 in Kraft getretene europäische Datenschutzgrundverordnung (DSGVO) wurden zahlreiche nationale Datenschutzregelungen abgelöst und durch ein einheitliches europäisches Regelwerk zum Schutz personenbezogener Daten ersetzt. Obwohl die Umsetzungsfrist bereits verstrichen ist, haben sich viele Unternehmen bisher – häufig angesichts der Komplexität – davor gescheut, die interne Ist-Situation im Bereich Datenschutz zu überprüfen und zu klären, ob und welche Anpassungen für das neue Datenschutzrecht erforderlich sind und die daraus resultierenden, notwendigen Maßnahmen zu ergreifen.

Ansprechpartner Dr. Frank Hülsberg

Governance, Risk, Compliance & Technology

Treten Sie mit uns in Kontakt
Ansprechpartner Christian Knake Treten Sie mit uns in Kontakt

Sind Mitarbeiter erneut auf die Vertraulichkeit der Daten verpflichtet worden? Wurden Verträge mit Auftragsverarbeitern überarbeitet? Wer ist im Management für den Bereich Datenschutz zuständig und übernimmt Verantwortung? Sind die Modifizierungen der DSGVO bereits im Datenschutzkonzept implementiert? Die Beantwortung derartiger Fragen bedeutet für die Managementebene meist eine weitgehende Neuausrichtung des bisherigen Datenschutzkonzepts, um Haftungsrisiken und letztlich eine Haftung zu vermeiden – denn Datenschutz ist „Chefsache“.

Die wichtigsten neuen Pflichten und Handlungserfordernisse lassen sich wie folgt kurz skizzieren:

War bislang die Bestellung eines Datenschutzbeauftragten, der sich den datenschutzrechtlichen Anforderungen eines Unternehmens gestellt hat, weitgehend ausreichend, bedarf es mit der DSGVO nun eines komplexen Datenschutz-Management-Systems. Dieses System muss beispielsweise die Wahrung von Betroffenenrechten, Meldepflichten sowie weitere organisatorische und technische Maßnahmen gewährleisten. Pflichten der Auftragsverarbeitung, Datenerhebungen im Internet und die umfangreiche Datenschutzfolgenabschätzung (bislang bekannt als Vorabkontrolle) bedürfen einer intensiven inhaltlichen, rechtlichen und technischen Auseinandersetzung, um die Anforderungen der DSGVO zu erfüllen. Neben dem erhöhten Bußgeldrahmen steigt das unternehmerische Risiko im Hinblick auf die zivilrechtliche Haftung von materiellen und – neuerdings – immateriellen Schäden. So kann eine Haftungsreduktion im Zivilverfahren nur durch eine aussagekräftige Dokumentation gewährleistet werden.

Verschärfte Sanktionen

Zugleich hat der Gesetzgeber die auf Verstöße folgenden Sanktionen verschärft. Lag die Bußgeldhöchstgrenze nach altem Recht bei 300.000 Euro, hat sie sich mit der DSGVO auf 4% des Konzernumsatzes oder 20 Millionen Euro erhöht. Diese Verschärfung hat zwangsläufig erhebliche Auswirkungen auf das unternehmenseigene Risikomanagement und löst dringenden Handlungsbedarf aus, zumal die Datenschutzbehörden ihren Aufsichtspflichten durchaus nachkommen und den ihnen zur Verfügung stehenden Bußgeldrahmen auch nutzen. So wurde beispielsweise im Januar 2019 gegen Google (Frankreich) eine Geldbuße in Höhe von 50 Millionen Euro verhängt, weil der Konzern gegen die DSGVO verstoßen haben soll. Zwar ist Google gegen den Bußgeldbescheid in Berufung gegangen, aber dennoch ist es das erste Mal, dass eine europäische Behörde einen globalen Internetkonzern auf Basis der DSGVO bestraft.
Auch wenn der Handlungsbedarf zunächst erdrückend erscheint, bestehen viele Parallelen in Form von Aufbau und Systematik zwischen der DSGVO und dem bisherigen Datenschutzrecht (BDSG-alt). Neben einigen grundlegenden Änderungen wie beispielsweise der Einführung eines vollständigen Datenschutzmanagementsystems und dem verschärften Bußgeldrahmen sind viele Normierungen – in modifizierter Weise – erhalten geblieben.

Praxishinweis

Ein wirksames Datenschutzmanagementsystem ist daher für Unternehmen von zentraler Bedeutung. Warth & Klein Grant Thornton steht Ihnen zu allen Fragen rund um das Thema Datenschutz mit Rat und Tat zur Seite. Ganz gleich, ob Sie Unterstützung beim Aufbau eines Datenschutz-Management-Systems suchenn, Sie Ihr bestehendes System prüfen lassen möchten oder einen externen Datenschutzbeauftragten benötigen: Unsere Datenschutzexperten können Sie in allen Datenschutzbelangen unterstützen. Auch bei Fragen mit internationalem Bezug müssen Sie nicht auf unsere hohen Qualitätsstandards verzichten. Bei grenzüberschreitenden Sachverhalten arbeiten wir mit dem leistungsstarken Netzwerk Grant Thornton International zusammen. Rund 53.000 Mitarbeiter in über 135 Ländern garantieren Ihnen weltweit hervorragende Services auf einheitlich hohem Niveau – für jede Ihrer Herausforderungen und mit dem richtigen Experten vor Ort.



EU-DSGVO: Wichtige Änderungen im Überblick
Download als PDF

Leitfaden EU-DSGVO
Download als PDF

Quick Check Datenschutz
Download PDF