1. Rechte von Dateneigentümern werden gestärkt

Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) verbindlich in Kraft treten. Damit einhergehend werden betroffene Unternehmen bisher geltende Datenschutzanforderungen ausweiten sowie ergänzend neue Anforderungen umsetzen müssen. Die mit den Anforderungen verbundene Zielsetzung wurde dabei im ersten Artikel der DSGVO manifestiert, indem es heißt, dass die Grundrechte und Grundfreiheiten natürlicher Personen im Hinblick auf Datenschutz gestärkt werden sollen (Vgl. Art. 1 (2) DSGVO).

Anzeige

Zur Gewährleistung dieses Ziels definiert die DSGVO umfassende Regelungen für die Verarbeitung personenbezogener Daten durch private und öffentliche Organisationen. Die Regeln besitzen dabei europaweit Gültigkeit. Ferner hat sich die Verordnung zum Ziel gesetzt, den freien Datenverkehr innerhalb des europäischen Binnenmarkts sicherzustellen (Vgl. Art. 1 (3) DSGVO).

Nach der Verabschiedung der DSGVO am 14. April 2016 durch das Europäische Parlament ist diese am 24. Mai 2016 in Kraft getreten. Aufgrund der europaweiten Gültigkeit der DSGVO bedarf es zudem keiner zusätzlichen Überführung der Verordnung in nationales Recht. Die Verordnung ist daher mit Stichtag 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union von allen betroffenen Unternehmen verpflichtend anzuwenden.

Dennoch sind nationale Gesetzgebungen zum Datenschutz durch die jeweiligen Mitgliedsstaaten an die Anforderungen der DSGVO anzugleichen, um Widersprüchen zwischen nationalem Recht und Europarecht vorzubeugen. In Deutschland ist die Angleichung des bisherigen Bundesdatenschutzgesetzes (BDSG-alt) an die DSGVO bereits durch das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUGEU) erfolgt. Das angepasste Bundesdatenschutzgesetz (BDSG-neu) wurde dazu am 05. Juli 2017 verkündet.

Werden die Anforderungen der DSGVO und des BDSG-neu von betroffenen Unternehmen nicht fristgerecht bis zum 25. Mai 2018 umgesetzt, müssen die Unternehmen mit umfangreichen Strafen rechnen. Während im BDSG-alt noch Strafen von bis zu 300.000 Euro vorgesehen waren, sieht die DSGVO Strafen von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Jahresumsatzes vor (Vgl. Art. 83 (5) DSGVO).

Anzeige

2. bestehende Datenschutzvorschriften werden ausgeweitet

Die DSGVO definiert umfassende Datenschutzanforderungen an Unternehmen mit Sitz in der Europäischen Union. Für deutsche Unternehmen gilt jedoch, dass viele Aspekte der DSGVO nicht grundsätzlich neu sind, sondern in ähnlicher Art und Weise bereits im bisher geltenden BDSG-alt gefordert wurden. Trotz hoher Überschneidungen zwischen DSGVO und BDSG-alt lassen sich bei näherer Betrachtung dennoch vereinzelt Verschärfungen und Ausweitungen finden. Exemplarisch können genannt werden:

  • die grundsätzliche Beweislastumkehr durch die Rechenschaftspflicht (Vgl. Art. 5 (2) DSGVO)
  • die Verkürzung der Reaktionszeit bei Datenpannen (Vgl. Art. 33 (1) DSGVO)
  • die Ausweitung von Informationspflichten bei Datenerhebung (Vgl. Art. 13 DSGVO) sowie
  • eine Stärkung der Betroffenenrechte durch umfangreichere Auskunftspflichten (Vgl. Art. 15 DSGVO).