Die DSGVO im Überblick
Ab Mai diesen Jahres gilt für und in ganz Europa ein einheitliches Datenschutz-Niveau.
Das ist gut.
Die Komplexität der unterschiedlichen Datenschutzbestimmungen in ganz Europa endet und es wird eine einheitliche Verordnung geben – wenn auch nachrangig ergänzt um länderspezifische Besonderheiten. Durch Clouddienste, steigende Mobile Nutzung, Social Media Plattformen und Big Data ist dies auch dringend erforderlich gewesen. Es wird natürlich noch weiterhin Regelungsbedarf geben oder neue Themenstellungen dies erforderlich machen, aber ein wichtiger Schritt ist getan.
Die europäische Datenschutz-Grundverordnung besteht aus 11 Kapiteln mit insgesamt 99 Artikeln. Ein Grundsatzwerk, das den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen möchte, ebenso wie den freien Datenverkehr.
In Kapitel 1 und 2 werden Ziele, Anwendungsbereiche, Begriffsbestimmungen, zahlreiche Grundsätze und Bedingungen zur Verarbeitung personenbezogener Daten behandelt. Kapitel 3 erläutert in 12 Artikeln die Rechte betroffener Personen. Kapitel 4 mit seinen 20 Artikeln ist besonders unternehmensrelevant. Hier werden die Datenschutz-Pflichten der Verantwortlichen und Auftragsverarbeiter im Detail geregelt. Kapitel 5 umfasst 7 Artikel, die die rechtlichen Vorgaben bei der Datenübermittlung an Drittländer oder internationale Organisationen enthalten. Kapitel 6 regelt die Unabhängigkeit der Aufsichtsbehörden und in den Kapiteln 7 bis 11 werden Zusammenarbeit, Rechtsbehelfe, Besonderheiten und Schlussbestimmungen behandelt.
Verkürzt gesagt, verpflichtet die neue DSGVO alle europäischen oder im europäischen Wirtschaftsraum tätigen Unternehmen (Marktortprinzip), unabhängig von ihrer Mitarbeiteranzahl, ein komplexes Datenschutz-Managementsystem einzuführen, das den Schutz personenbezogener Daten nachweisbar zu jedem Zeitpunkt sicherstellt. Für Kleinstunternehmer bis 9 Mitarbeiter resultiert daraus nahezu zwingend die Notwendigkeit einen Datenschutzbeauftragten einzubinden, um den umfangreichen Nachweispflichten rechtssicher nachzukommen – auch wenn dies nur Pflicht wird, wenn das Geschäftsmodell im Kern auf der Verarbeitung personenbezogener Daten beruht. Im Umkehrschluss wird es ab einer bestimmten Unternehmensgröße nicht mehr von einem Datenschutzbeauftragten alleine leistbar sein, zu prüfen, ob alle neuen Datenschutzrichtlinien auch abteilungsübergeifend kontinuierlich umgesetzt werden.
Unter der Voraussetzung, dass die nationalen Aufsichtsbehörden die gesetzlich geforderten personellen, technischen und finanziellen Ressourcen auch wirklich erhalten, werden vermehrt Überprüfungen erfolgen und auch Datenschutzvorfälle, die nach neuer Meldepflicht innerhalb von 72 Stunden übermittelt werden müssen, erheblich rascher bewertet werden.
Die neue Datenschutz-Grundverordnung wird den 500 Millionen Bürgern in Europa mehr Rechtssicherheit geben – und Unternehmen zu noch besseren und umfangreicheren Datenschutz-Prozessen verpflichten.