Die wichtigsten Regelungen zur EU-DSGVO (GDPR)

Der Countdown läuft. Noch bis zum Mai 2018 haben Unternehmen Zeit, sich auf die neuen Forderungen der EU beim Umgang mit personenbezogenen Daten vorzubereiten. Die Regelungen im Detail finden Sie hier.

Für eine erste Übersicht finden Sie hier die wichtigsten Regelungen.

Wann wird die neue Regelung wirksam?

Am 25. Mai 2016 trat die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) oder im Original General Data Protection Regulation (GDPR) in Kraft. Bis zum 25. Mai 2018 haben Sie Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten in Ihrem Unternehmen sicherzustellen.

Wo gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen mit Sitz in der EU, aber auch explizit für alle Unternehmen mit Sitz außerhalb der EU, wenn Sie ihre Angebote an EU-Bürger richten. Auch der Ort, an dem die Daten verarbeitet werden, also zum Beispiel in einem Rechenzentrum außerhalb des Geltungsbereiches der EU spielt keine Rolle mehr.

Privacy by design und by default

Mit der neuen Regelung müssen Unternehmen sich bereits bei der Planung und Implementierung von neuen Prozessen beschäftigen. Die neuen Prozesse und Anwendungen sollen bereits die geforderten Datenschutzkonzepte beinhalten.

Informationsaustausch innerhalb von Konzerngrenzen

Innerhalb einer Unternehmensgruppe wird die Datenverarbeitung von personenbezogenen Daten vereinfacht. Zum Einen wird das Übermitteln solcher Daten innerhalb des Konzerns für Verwaltungszwecke legitimiert. Zum Anderen ist es erlaubt, dass sich mehrere Organisationen innerhalb einer Unternehmensgruppe für die Datenverarbeitung zusammenschließen. Die beteiligten Organisationen haften dann allerdings gemeinsam bei Verstößen gegen die DSGVO.

Bewertung des Risikos

Die Unternehmen werden verpflichtet, entsprechende Audits in regelmäßigen Abständen durchzuführen. Durch diese interaktiven Bewertungen soll das Risiko von Datenlecks minimiert werden.

Informationen über gespeicherte Daten

Die Transparenz für personenbezogene Daten soll weiter erhöht werden. Hierzu soll den Betroffenen eine umfangreichere Möglichkeit geboten werden, sich über die Daten zu informieren, die im jeweiligen Unternehmen gespeichert sind. Hierzu zählt u.a. auch wie lange die Daten gespeichert werden.

Nachweis über Datenschutzkonzept

Jedes Unternehmen muss nachweisen können, dass ein geeignetes Datenschutzkonzept existiert, wo personenbezogene Daten anfallen, wie diese verarbeitet werden und welchen Risiken diese Daten unterliegen. Das Datenschutzkonzept muss ständig überwacht, geprüft und weiterentwickelt werden.

Pflicht zur Meldung von Datenschutzverstößen

Mit der neuen Regelung müssen sämtliche Verstöße gegen die DSGVO innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde gemeldet werden. Ebenso müssen die Betroffenen umgehend darüber informiert werden.

Sanktionen

Die EU führt ein Zwei-Stufensystem für die Bestrafung von Verstößen gegen die DSGVO ein. Bei einfacheren Verstößen, z.B. gegen die Dokumentationspflicht können Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweit erzielten Jahresumsatzes und bei größeren Vergehen bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Jeder einzelne Fall wird auf seine Schwere geprüft und bewertet.