Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
Motivation
Haben wir hier im Datenschutz schon wieder eine EU-Verordnung, für die sich niemand interessiert? Lohnt sich überhaupt eine Beschäftigung mit diesen bürokratischen Auflagen? Merkt es denn irgendjemand, ob man den Datenschutz einhält oder nicht?
Dies ist eine berechtigte Frage. Die EU-Richtlinie von 1995 war wohl nicht unbedingt ein Erfolgsmodell. Es hat viele Jahre gedauert, bis die jeweiligen EU-Staaten sie umsetzten. Spürbare Auswirkungen hat es lange Zeit nicht gebracht. Und in Deutschland? Hier gab es zwar eine rege Gesetzgebung; aber von Bußgeldern und Schadenersatzforderungen hört man kaum etwas.
Doch halt... hatte der Österreicher Max Schrems nicht im Jahr 2015 den Internet-Giganten facebook bezwungen? Hatte der EuGH nicht entschieden, dass das Safe-Harbor-Abkommen zwischen der EU und den USA mit sofortiger Wirkung nichtig ist? Es scheint, dass der Datenschutz noch nicht ganz tot ist.
Und seit April 2016 gilt die EU Datenschutz-Grundverordnung 2016/679 ("DS-GVO"), die seit dem in expontentiellem Wachstum die Fachpresse (und den Arbeitsmarkt) beschäftigt. Außerdem hatte der Deutsche Gesetzgeber im April 2017 eine Komplett-Novellierung des deutschen Bundesdatenschutzgesetzes beschlossen ("BDSG-neu").
Es ist offensichtlich: Da ist etwas in Bewegung.
Was kann passieren, wenn man dies alles ignoriert?
Konflikte mit den betroffenen Personen
Natürlich können SIE die neuen Datenschutz-Bestimmungen ignorieren. Die betroffenen Personen werden das nicht tun. Die DS-GVO legt den betroffenen Personen viele neue Persönlichkeitsrechte in die Hand. Und diese Rechte werden genutzt. Garantiert. Sehr schnell wird Ihr Unternehmen durch Auskunfts- und Datenkopie-Ersuchen unter Druck gesetzt. Wenn Sie nicht innerhalb von vier Wochen liefern, dann wird es kritisch.
Mögliche Abmahnungen durch die Konkurrenz
Der Datenschutz wird immer mehr auch zu einem Marketing-Argument. Der stets wachsende Konkurrenzkampf wird dafür sorgen, dass auch Datenschutzverfehlungen verstärkt zu Abmahnungen führen. Die DS-GVO erlegt Ihrem Unternehmen sehr viele Transparenzpflichten auf. Da ist es ein Leichtes für die Konkurrenz, die Lücken zu finden und abzumahnen.
Druck durch Kunden und Auftraggeber
Aus unserer Praxiserfahrung können wir Ihnen sagen: Alle sprechen von den neuen Datenschutz-Auflagen. Viele Unternehmen bereiten sich vor; genau dies werden sie auch von den Lieferanten erwarten. Falls also Ihr Unternehmen ein Produkt oder eine Datenschutz-Dienstleistung anbietet, die mit personenbezogenen Daten zu tun hat, dann ziehen Sie sich warm an. Ihre Kunden und Auftraggeber werden schon lange vor dem 25.05.2018 schriftliche Nachweise fordern, dass Sie die DS-GVO einhalten. Das Kapitel "Auftragsverarbeitungen" hat es in sich!
Schadenersatzforderungen
Mit der DS-GVO sind ab dem 25.05.2018 gemäß Artikel 82 auch immaterielle Schadenersatzforderungen möglich. Die betroffenen Personen müssen also nicht mehr einen finanziellen Schaden nachweisen (was stets sehr schwierig war). Bald werden vor Gericht auch solche Klagen eingereicht, die darauf abzielen, dass eine Person sich "schlecht behandelt" fühlt oder "die Kontrolle über die eigenen Daten verliert". Und die Richter werden dem stattgeben...
Bußgelder und Freiheitsstrafen
Die Deutschen Behörden haben sich in den letzten 40 Jahren wirklich zurückgehalten, wenn es um Bußgelder ging. Oftmals handelte es sich um geringe Beträge unter 1.000 €. Der Grund dafür lag ganz einfach darin, dass die Aufsichtsbehörden (a) sich eher als beratendes Gremium definieren und (b) u.a. die personellen Resourcen der Aufsichtsbehörden schlichtweg nicht ausreichen.
Das alles wird im Rahmen des Artikel 83 sich ganz sicher ändern. Nun können sich die betroffenen Personen europaweit bei deren jeweiligen Aufsichtsbehörden beschweren. Wenn Sie an den Straßenverkehr denken, dann wissen Sie: Der Umgang mit Bußgeldern ist in den südlichen EU-Staaten wesentlich härter und stringenter. Hier werden sich die Unternehmen in Deutschland umgewöhnen müssen. Die DS-GVO sagt im Artikel 83 ganz klar: Die Bußgelder müssen WIRKSAM und ABSCHRECKEND sein.
Die Bußgeld-Obergrenze liegt bei 20.000.000 € (bzw. 4% vom Konzern-Jahresumsatz) und hat sich somit um den Faktor 70 erhöht. In Deutschland sind gemäß § 42 BDSG-neu weiterhin Freiheitsstrafen möglich (drei statt bisher zwei Jahre).
... muss das alles noch in nationales Recht umgesetzt werden?
Nein, das ist bereits im April 2016 geschehen. Die EU-Verordnungen sind sofort geltendes Recht in allen EU-Staaten (anders als die "Richtlinien"). Insofern hat der Deutsche Bundestag nichts mehr zu tun.
Brüssel hat den europäischen Unternehmen (und Verwaltungen) eine Übergangsfrist von zwei Jahren bis zum 25.05.2018 eingeräumt. Danach gilt sofort und ohne Abstriche die DS-GVO. Und auch das neue Bundesdatenschutzgesetz findet dann Anwendung.
===> Abwarten ist keine Option
Die obige Kurzzusammenfassung verdeutlicht: Das neue Datenschutzrecht ist ein Fakt und eine Missachtung kann Probleme vielerlei Arten nach sich ziehen.
Die DS-GVO verfolgt den "Compliance"-Ansatz, der naturgemäß viel Bürokratie nach sich zieht. So manche datenschutzrechtlichen Pflichten müssen rechtzeitig begonnen werden, um am 25.05.2018 startbereit zu sein. Dies sind insbesondere
- ein Nachweis der Einhaltung der datenschutzrechtlichen Grundsätze gemäß Artikel 5
- die Verträge zur Auftragsverarbeitung gemäß Artikel 28
- ein Verarbeitungs-Verzeichnis gemäß Artikel 30
- ein Informations-Sicherheits-Managementsystem gemäß Artikel 32
Die Zeit drängt. Vielen Unternehmen ist das bewusst. Im Oktober 2017 ist der Markt an Datenschutz-Fachkräften so gut wie komplett abgegrast. Je näher der 25.05.2018 rückt, desto schwieriger (und teuerer) wird es für die Unternehmen.
... wie gut, dass es den PrivazyPlan® gibt. Unser Praxisleitfaden erklärt die ca. 50 Datenschutz-Pflichten und zeigt Ihnen Schritt für Schritt auf, wie Sie diese Pflichten in Angriff nehmen.
Sie möchten mit uns diesen Weg gehen, und unseren PrivazyPlan® in Ihrem Unternehmen anwenden? Dann lassen Sie uns darüber sprechen. Rufen Sie uns an unter 02432/934420-0.
Oder forden Sie eine Leseprobe an unter info@privazyplan.eu.