Neuigkeiten & Fachwissen

Seit dem 25.05.2016 ist die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit in Deutschland und der gesamten Europäischen Union ab dem 25.05.2018. Für Unternehmen bedeutet das „Halbzeit“, um sich auf die neuen Regelungen und Anforderungen vorzubereiten.  

Wieso wird das Datenschutzrecht reformiert?

Die bisherigen Datenschutzgesetze der EU-Mitgliedstaaten basieren auf der EU-Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG). Die Umsetzung dieser Richtlinie war den einzelnen Mitgliedstaaten weitgehend selbst überlassen. Das führte zu einem uneinheitlichen Schutzstandard in Europa. So müssen sich Unternehmen, die europaweit tätig sind, momentan mit 28 (!) verschiedenen Datenschutzgesetzen auseinandersetzen. Ziel der EU-DSGVO ist es also, das Datenschutzniveau in Europa zu vereinheitlichen. Fälle, die nicht in der EU-DSGVO geregelt sind, können aber weiterhin durch nationales Recht der Mitgliedsstaaten geregelt werden.

Welche Unternehmen sind betroffen?

Die EU-DSGVO gilt unmittelbar in allen Mitgliedsstaaten der EU. Außerdem gilt sie für Unternehmen aus Drittländern, die Waren und Dienstleistungen innerhalb der EU anbieten.

Welche Neuerungen ergeben sich durch die EU-DSGVO?

Die EU-DSGVO bringt zahlreiche Änderungen u. a. bei den folgenden Themen mit sich

  • Einwilligung

    Grundsätzlich gilt im Umgang mit personenbezogenen Daten der Grundsatz „Verbot mit Erlaubnisvorbehalt“. D. h., ohne Einwilligung des Betroffenen dürfen Unternehmen keine persönlichen Informationen verarbeiten. Das vorgeschriebene Mindestalter in der EU-DSGVO für wirksame Einwilligung beträgt 16 Jahre. Durch eine Öffnungsklausel kann dieses jedoch auf 13 Jahre gesenkt werden. Wichtig ist, dass die Einwilligung freiwillig erfolgt. Das bedeutet z. B., dass sie ohne Nachteile widerrufbar sein muss.

  • Recht auf Löschung

    Wenn Betroffene nicht damit einverstanden sind, dass ihre Daten weiter verarbeitet werden, und es keine legitimen Gründe für deren Speicherung gibt, müssen die Daten gelöscht werden. Das fordert bereits das Bundesdatenschutzgesetz (BDSG).  Laut EU-DSGVO müssen Unternehmen künftig auch andere Stellen, die diese Daten ebenfalls verarbeiten, von dem Löschwunsch bzw. der Löschverpflichtung informieren. Die Löschpflicht umfasst dabei neben den Daten und Datenkopien auch Links auf die Daten und Kopien.
  • Datenportabilität

    Eine weitere Neuerung wird in Artikel 18 geregelt: Das Recht auf Datenportabilität. Das bedeutet, dass Betroffene Anspruch darauf haben, ihre Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten, sodass sie diese an einen anderen Anbieter einfach weiterleiten können. Verbraucher können sogar verlangen, dass der bisherige Verwender die Daten direkt an den neuen Anbieter übermittelt – sofern dies technisch möglich ist.
  • Folgenabschätzung

    Hinsichtlich der Datensicherheit müssen Unternehmen künftig eine „Datenschutz-Folgenabschätzung“ machen. Und zwar immer dann, wenn es sich um eine risikobehaftete Datenverarbeitung handelt. Falls sich aus dieser Abschätzung ergibt, dass für den Betroffenen ein Risiko besteht, muss die Aufsichtsbehörde informiert werden. Innerhalb von acht Wochen muss diese dem Unternehmen dann eine schriftliche Empfehlung zur Risikominimierung geben. Sie kann die Datenverarbeitung aber auch komplett untersagen.
  • Rechenschaftspflicht

    Diese Neuerung könnte erheblichen Aufwand in sich bergen. Denn Unternehmen müssen künftig nachweisen, dass sie personenbezogene Daten gemäß den neuen EU-Regelungen verarbeiten. Die EU-DSGVO wird Methoden bereitstellen, um die Einhaltung dieser Pflicht zu vereinfachen.
  • Bußgeld

    Die Sanktionen für Datenschutzverstöße wurden in der EU-DSGVO deutlich verschärft. Bisher lag das maximale Bußgeld bei 300.000,00 EUR. Aufgrund dieser relativ „geringen“ Summe, haben vor allem ausländische Konzerne das deutsche Datenschutzrecht oft absichtlich ignoriert. Nun wurden die Strafen angepasst: Geldbußen in Höhe von zwei bis vier Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro sind möglich. Damit sollen die Unternehmen nachdrücklich zur Einhaltung der EU-DSGVO gezwungen werden.


Aktuelle Informationen zur neuen EU-DSGVO sowie zu weiteren gesetzlichen Änderungen im Datenschutz erhalten Sie bei der AKADEMIE HERKERT im Seminar „Update Datenschutz 2017 - Alle Neuerungen kompakt für Datenschutzbeauftragte und Geschäftsführer“.