
Die Uhr tickt: Der 25. Mai 2018 ist ein wichtiger Termin für Selbständige und Freiberufler. Ab diesem Tag müssen sie – wie die meisten Unternehmer, Unternehmen und Behörden – die EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben. Ziel der Richtlinie ist ein einheitlicher Umgang in der Europäischen Union mit personenbezogenen Daten. Der Gesetzgeber verspricht sich davon mehr Sicherheit für sensible, digital verarbeitete Informationen über Verbraucher. Wer sich darauf nicht einstellt, muss mit erheblichen Bußgeldern rechnen.
Der Countdown läuft bereits seit dem 25. Mai 2016. Damals trat die Datenschutz-Grundverordnung offiziell in Kraft – allerdings mit einer zweijährigen Schonfrist für ihre Umsetzung. Nun ist diese Übergangsphase fast abgelaufen. Der Handlungsdruck wird damit immer größer. Zwar basiert die neue EU-weite Regelung weitgehend auf dem deutschen Bundesdatenschutzgesetz (BDSG), dennoch kommen auch auf hiesige Unternehmen erhebliche Veränderungen zu. Denn sämtliche diesbezüglichen länderspezifischen Gesetze verlieren ab dem 25. Mai 2018 ihre Gültigkeit. Darunter fallen in Deutschland auch Teile des Telemediengesetzes.
In erster Linie sollen die DSGVO-Neuerungen die Grundrechte und Grundfreiheiten der Verbraucher stärken. Konkret folgt daraus ein streng geregelter Umgang mit personenbezogenen Daten, die einen Menschen identifizierbar machen. Damit wirkt sich die Datenschutz-Grundverordnung auf alle Unternehmen aus, die im Internet aktiv sind. Betroffen sind Sie beispielsweise, wenn Sie Facebook-Kanäle betreiben, Newsletter verschicken, Nutzerverhalten oder Kundendaten erfassen und auswerten. Das gilt übrigens auch für außereuropäische Anbieter, die in der EU Handel treiben beziehungsweise Geschäfte machen und personenbezogene Daten von EU-Bürgern verarbeiten, wie etwa Google oder Microsoft. Der Firmensitz spielt also keine Rolle, nur der Wirkungskreis entscheidet.
Personenbezogene Daten von Verbrauchern sind unter anderem:
Die Auftragsdatenverarbeitung (ADV) dieser und ähnlicher digitaler Informationen unterliegt künftig bestimmten Grundsätzen, die in Artikel 5 der EU-DSGVO stehen. Dort heißt es zum Beispiel, personenbezogene Daten müssen …
Die Richtlinie zwingt zu einer reformierten Auftragsdatenverarbeitung von personenbezogenen Daten. Das wirkt sich stark auf Datenumgang und Datenschutz in Unternehmen jeder Größe aus, also auch in mittelständischen und kleinen.
Als Selbstständiger oder Chef müssen Sie beispielsweise:
Die Zeit drängt und es gibt viel zu tun. Interne Prozesse und Dokumente sind zu prüfen und den neuen Anforderungen anzupassen. Strategisches Vorgehen spart hier Zeit, Geld und Nerven. Kalkulieren Sie daher vorab den zeitlichen und finanziellen Aufwand. Binden Sie nicht nur den Datenschutzbeauftragten in die Planung ein, sondern gegebenenfalls die Geschäftsleitung sowie Vertreter der Abteilungen IT, Recht und Compliance, Finanzen, F&E, Personal sowie des Betriebsrats. Hier eine kurze Übersicht weiterer, wichtiger Aufgaben:
Diese und weitere Punkte unterliegen der erweiterten Rechenschaftspflicht. Um ihr zu genügen, etablieren Sie ein angemessenes Datenschutzmanagement-System. Es begleitet und dokumentiert sämtliche oben genannten Prozesse. Sie brauchen es, um vor den Aufsichtsbehörden die regelkonforme Umsetzung der Datenschutz-Grundverordnung nachzuweisen.
Wer sich nicht ab dem 25. Mai 2018 an die Datenschutz-Grundverordnung hält, muss mit empfindlichen Strafen rechnen. Möglich sind Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens, das bei einem Verstoß erwischt wird. Entscheidend ist hier, welcher Betrag höher ausfällt.