ETES-Weblog

Die Datenschutz-Grundverordnung (DSGVO) - Teil 2

Gepostet am von Ioannis Dimas in „Know-How“ Kommentare 0

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union

In weniger als einem Jahr endet die zweijährige Übergangsfrist der Datenschutzgrundverordnung (DS-GVO). Darauf sind nicht alle Unternehmen vorbereitet. Im ersten Teil der Beitragsreihe zur DS-GVO ist auf die Kernpunkte und nach welchen Kriterien personenbezogene Daten verarbeitet werden dürfen eingegangen worden. Der zweite Teil befasst sich mit den Anforderungen an Unternehmen und wie die veränderten Bußgeldvorschriften bzw. Sanktionen aussehen.
Zunächst ist es wichtig, dass Unternehmen vorab prüfen, welche Systeme von der neuen Gesetzgebung betroffen sind und welche noch benötigt werden. Zu einem der wichtigsten Elemente gehört das Datenschutzmanagementsystem, welches vor Einführung auf seine Gesetzeskonformität geprüft werden sollte.

Was verlangt die DS-GVO vom Unternehmen?

Wie bereits erwähnt gehört die Etablierung eines Datenschutzmanagementsystems, das den Schutz personenbezogener Daten wirksam gewährleistet, zu den grundlegenden Zielsetzungen der DS-GVO. Dabei muss sichergestellt werden, dass die Bearbeitung der personenbezogenen Daten rechtskonform im Sinne der DS-GVO erfolgt. Um dies zu gewährleisten müssen die entsprechenden Prozesse innerhalb des Unternehmens geprüft, ggf. angepasst und fehlende Dokumentationen und Beschreibungen der betreffenden Prozesse ergänzt oder angefertigt werden.

Eine weitere grundlegende Zielsetzung, die ein Datenschutzmanagementsystem notwendig macht, ist die geforderte Rechenschafts- und Dokumentationspflicht aus der DS-GVO. Um diese zu erfüllen darf nicht einfach nur dokumentiert werden, sondern das Ergebnis der Datenverarbeitung muss nachweisbar sein. Im Fokus der Rechenschaftspflicht stehen hier die Persönlichkeitsrechte der Bürger als betroffene Personen. Das Stichwort ist hier „Informelle Selbstbestimmung“, das heißt das Recht selbst zu bestimmen welche der personenbezogenen Daten von wem, in welchem Umfang, zu welchem Zweck verarbeitet werden und ob diese Daten anderen zur Verfügung gestellt werden dürfen.

Weitere Elemente, Prozesse und Dokumentationen für Unternehmen auf die die DS-GVO verweist sind z. B.:

  • Risikomanagement
  • Vorhalten von Handbüchern zur IT-Sicherheit und IT-Architektur
  • Dokumentierte Richtlinien
  • etc.

Letztendlich müssen Unternehmen, zur Etablierung eines Datenschutzmanagementsystems, sich eine Strategie zurechtlegen, mit der sie die gesetzten Anforderungen zielorientiert umsetzen und künftig aufrechterhalten können.

Ein möglicher Ablaufprozess könnte wie folgt aussehen:

Gibt es neue Bußgeldvorschriften und Sanktionen – wie erfolgt die Bemessung?

Die bisher bekannte Bußgeldobergrenze von 300.000,-- Euro aus dem Bundesdatenschutzgesetz ist mit in Kraft treten der DS-GVO drastisch erhöht worden. Die maximale Höhe wurde auf 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr eines Unternehmens festgesetzt. Die Entscheidung erfolgt nach Höhe des Wertes. Zu beachten gilt, dass z.B. bei Konzernen der Jahresumsatz des gesamten Konzern zugrunde gelegt wird und nicht der der jeweiligen juristischen Person.

Nach welchen Kriterien Bußgelder verhängt werden dürfen wird auch durch die DS-GVO geregelt. Dabei wird nach folgenden Punkten entschieden:

  • Art, Schwere und Dauer des Verstoßes
  • Umfang und Zweck der Verarbeitung
  • Zahl der betroffenen Personen und das Ausmaß des sie betreffenden Schadens
  • Handlung erfolgte vorsätzlich oder fahrlässig
  • Ergreifung von Maßnahmen zur Minimierung des Schadens der betroffenen Personen
  • Grad der Verantwortung der Verantwortlichen.
  • Vorhandensein frühere Verstöße
  • Umfang und Art der Zusammenarbeit mit den Aufsichtsbehörden um die Auswirkungen des Vorfalls zu mindern
  • Kategorie der betroffenen personenbezogenen Daten.
  • Art und Weise mit der der Vorstoß/Vorfall der Aufsichtsbehörde mitgeteilt wurde
  • Wiederholungstat: Verstoß ist bereits in der Vergangenheit aufgetreten
  • Ausmaß der Einhaltung von Verhaltensregeln und Verfahren zum Datenschutz
  • Jegliche andere erschwerende oder mildernde Umstände im jeweiligen Fall (z.B. finanzielle Vorteile oder Nachteile).

Fazit

Über die Thematik rundum die DS-GVO ließe sich noch mehrere Seiten füllen, daher wurden hier nur einige Punkte aufgegriffen. Aus persönlicher Sicht bringt die DS-GVO sehr viele und wichtige Neuregelungen mit sich. Umgesetzt helfen diese nicht nur die gesetzlichen Anforderungen zu erfüllen, sondern auch die IT-Gestützte Arbeit im Unternehmen zu verbessern und sicherer zu machen. Geschäftsführer und Entscheider sollten die Umsetzung nicht als lästige Pflicht betrachten, sondern als Chance ihr Unternehmen fit zu machen für die kommenden Jahre.

Aus diesem Grund nochmals der Hinweis:

„Handeln Sie jetzt! Die Zeit bis zum Umsetzungstermin beträgt aktuell weniger als ein Jahr und es ist viel zu tun!“

Gerne unterstützen wir Sie bei der Umsetzung mit bewährten Best-Practice-Methoden, unserem Knowhow und Tools.

Tags dieses Beitrages: BDSG, Datenschutz, Datenschutz Grundverordnung, Datenschutzmanagementsystem, DSGVO
Trackback-URL: https://www.etes.de/system/modules/trackback/trackback.php?id=2775

Einen Kommentar schreiben

Bitte addieren Sie 1 und 5.