Am 25. Mai 2018 ist die zweijährige Frist zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) abgelaufen.
Am 25. Mai 2018 ist die zweijährige Frist zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) abgelaufen. Unternehmen mit Sitz in der EU haben die DSGVO nun zwingend zu befolgen. Gleiches gilt für Unternehmen mit Sitz außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten in der Union beobachten.
Zum gleichen Zeitpunkt ist in Deutschland das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten, das zu verschiedenen Anforderungen der DSGVO weitere Regelungen enthält oder diese konkretisiert. Beispiele sind der Beschäftigtendatenschutz, die Videoüberwachung, Informationspflichten und Auskunftsrechte sowie Scoring und Profiling. Insgesamt müssen Unternehmen eine Vielzahl an Neuerungen berücksichtigen. So werden ihnen u. a. erhöhte Dokumentationspflichten, eine stärkere Formalisierung sowie die Erfüllung einer Vielzahl an Betroffenenrechten auferlegt. Darüber hinaus müssen verschiedene bisher so nicht dagewesene Fristen beachtet werden. Der Datenschutz ist von nun an im Sinne eines Management-Systems zu organisieren. Der Verantwortliche, das Unternehmen, muss die Einhaltung der Vorgaben der DSGVO sicherstellen und nachweisen können (Rechenschaftspflicht).
Die DSGVO sieht vor allem folgende Neuerungen vor:
Neben diesen Neuerungen räumen Öffnungsklauseln den europäischen nationalen Gesetzgebern in einzelnen Bereichen Gestaltungskompetenzen ein. Daher ist die Entwicklung der nationalen Regelungen nicht außer Acht zu lassen.
Die Umsetzung der DSGVO ist ein unternehmerischer Kraftakt. Es ist zu erwarten, dass auch nach dem Stichtag noch nicht alle Anforderungen im Einzelfall umgesetzt sind. Zudem wird es branchenspezifische Unterschiede geben. Wer besonderes viele oder besonders schützenswerte Daten verarbeitet oder in besonderem Maße neue Technologien einsetzt, wird einen größeren Aufwand betreiben müssen, als andere Unternehmen. Zu nennen sind exemplarisch die Finanzbranche mit ihrer großen Zahl an sensiblen Kundendaten auf vielen globalen Systemen, aber ebenso Versicherungen, die Pharmaindustrie, die Gesundheitsbranche, Telekommunikationsunternehmen oder Onlineanbieter. Unabhängig von der Branche gilt für alle Unternehmen: Sie müssen ihre bisherigen Zuständigkeiten, Prozesse und Maßnahmen neu bewerten. Risikoanalyse, Dokumentation und Transparenz rücken in den Vordergrund.
Zur Umsetzung der Vorgaben der DSGVO sollten folgende Fragen berücksichtigt werden:
Das klingt nach viel Arbeit und das ist es auch. Aber angesichts von nun drastisch erhöhten Bußgeldern von bis zu 20 Millionen Euro beziehungsweise vier Prozent des gesamten weltweiten Vorjahresumsatzes stellt sich kaum die Frage, ob man ein Datenschutzrisiko eingehen will. Die neue Rechenschaftspflicht des Datenverarbeiters, der die Einhaltung der Vorgaben der DSGVO nachweisen muss und die zur prozessualen Beweislastumkehr führen kann, unterstreicht dies.
Bei Fragen rund um die DSGVO, ihre Konzeption und Implementierung im Unternehmen, wie auch Maßnahmen zur Prüfung und Zertifizierung des Datenschutzmanagements sprechen Sie uns gerne an.
© 2021 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.