Checkliste zur Datenschutzgrundverordnung – Was ist Ihr To Do?
Die neue EU-Datenschutzgrundverordnung (DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Während dieser Übergangsfrist sind sämtliche Prozesse im Unternehmen anzupassen. Die DSGVO löst die bisherige EU-Datenschutzrichtlinie ab und wird in weiten Teilen auch das nationale Datenschutzrecht ersetzen. Daneben bleiben aber einige nationale Regelungen möglich, so dass insbesondere innerhalb der EU das ggf. zusätzlich geregelte nationale Datenschutzrecht eines jeden Landes, in dem das Unternehmen tätig ist, zu beachten ist.Hier kommen gerade für den Bereich Online-Marketing und insbesondere das E-Mail-Marketing umfangreiche To-Dos auf die Unternehmen zu.
Was die Neuerungen angeht, seien hier nur diese Punkte bespielhaft herausgegriffen, die zeigen, dass sämtliche Prozesse im Unternehmen auf den Prüfstand gehören:
- Meldepflicht bei Datenschutzverletzungen: Unternehmen müssen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden. Außerdem sind die betroffenen Personen zu informieren, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.
- Dokumentationspflichten: Verantwortliche müssen die Einhaltung der Datenschutzgrundsätze nachweisen können. Künftig muss eine umfassende Dokumentation mit den Inhalten des Verzeichnisses aus Artikel 30 DSGVO geführt werden. Eine Ausnahme hiervon besteht zwar für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, allerdings nur, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt. Die Ausnahme dürfte in der Praxis also wenig relevant sein.
- Datenschutz-Folgeabschätzungen: Unternehmen sind verpflichtet, vor der Datenverarbeitung die Risiken für die Privatsphäre der betroffenen Personen zu analysieren.
- Privacy by Design: Der Umfang der Erhebung und Verarbeitung von personenbezogenen Daten ist so weit wie möglich zu minimieren. Es ist das Einverständnis der Betroffenen erforderlich.
- Auftragsverarbeitung: Die „alte“ Auftragsdatenverarbeitung wird jetzt zur „Auftragsverarbeitung“. Es sind neue Pflichten des Auftragsverarbeiters vorgesehen, so dass die alten Verträge anzupassen sind.
- Marktortprinzip: Es gilt künftig das sog. Marktortprinzip, wonach die DSGVO Anwendung findet, wenn sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.
Die Zeit bis zum 25.05.2018 ist denkbar kurz, denn Unternehmen sollten jetzt im Rahmen eines vollständigen Compliance-Checks alle Prozesse auflisten, in denen personenbezogene Daten erhoben und verarbeitet werden. Sämtliche Prozesse einer juristische Gap-Analyse unterzogen werden: Alle Aktivitäten sind mit der Rechtslage in dem jeweiligen Land, in dem die Prozesse stattfinden, abzugleichen. Daraus ergeben sich dann Ihre To Dos, die bis zum Wirksamwerden der DSGVO erledigt sein müssen.
Denn eines darf nicht vergessen werden: Die Sanktionen werden empfindlicher. Bei Datenschutzverstößen können künftig Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden.
- Unsere Kanzlei hat eine Checkliste zum Thema erstellt, die Sie kostenfrei herunterladen können:
Übersicht und Checkliste zur neuen Datenschutzgrundverordnung (DSGVO) – Was ist neu und was ist Ihr To Do bis 25.05.2018?
September 2016, 6 Seiten, pdf., 102 KB
