Wir bekommen ein neues Datenschutzrecht. Die EU Datenschutzgrundverordnung wird das Bundesdatenschutzgesetz ablösen. Sie ist bereits verabschiedet. Und sie wird am 25.05.2018 in Kraft treten. Das steht jetzt schon fest. Eine Übergangsfrist wird es nicht geben. Das heißt, bis zum 24.05.2018 gilt das aktuelle Datenschutzrecht (also das Bundesdatenschutzgesetz und die entsprechenden weiteren nationalen Gesetze) weiter. Die Übergangsfrist ist also genau jetzt. Denn jetzt gilt es, für alle Unternehmen zu handeln. Denn betroffen von den Änderungen wird jedes (!) Unternehmen sein.
Auch wenn die bekannten Grundsätze des Datenschutzes im Kern erhalten bleiben, wie wir sie kennen, so wird sich doch einiges ändern. Diese Änderungen führen zwangsläufig bei jedem Unternehmen dazu, dass die aktuellen Prozesse und Abläufe anzupassen sind. Der Anpassungsbedarf betrifft dabei insbesondere auch die vorhandenen Texte im Bereich des Datenschutzes. Beispielsweise müssen datenschutzrechtliche Einwilligungen überprüft und in allen Fällen aufgrund der Änderungen angepasst werden. Die Informationspflichten gegenüber den betroffenen Personen werden sich nämlich nicht unerheblich ausweiten. Denn der Betroffenenschutz ist eines der erklärten Ziele der EU.
Die Vollharmonisierung des EU-Rechts? Nicht ganz.
Die angestrebte, so genannte Vollharmonisierung des EU-Rechts wird es allerdings so nicht ganz geben, da die Verordnung zwar unmittelbar in allen EU-Staaten ab dem genannten Datum gelten wird, jedoch innerhalb der Verordnung über 50 so genannte Öffnungsklauseln enthalten sind, die wiederum dem jeweiligen nationalen Gesetzgeber ermöglichen bestimmte Dinge anders zu regeln. Daher wird es auch weiterhin ein deutsches Datenschutzgesetz geben, dessen Entwurf aktuell auch bereits vorliegt. Der deutsche Gesetzgeber wird in einigen Punkten Änderungen, die die Verordnung vorsieht, im Hinblick auf die in Deutschland aktuell geltenden Regelungen abmildern. So sollen beispielsweise trotz anderer Regelungen in der Datenschutzgrundverordnung die Regeln für die verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten grundsätzlich bestehen bleiben.
Hohe Bußgelder sind ganz besondere Motivationshilfe
Die größte Motivationshilfe für alle Unternehmen die neuen Regelungen jetzt anzupacken und umzusetzen sind die exorbitant steigenden Bußgelder im Falle von Verstößen. Konkret bedeutet das, dass künftig – abhängig vom Verstoß – Bußgelder bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes oder aber sogar bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes – je nachdem welcher Betrag höher ist – als Bußgelder festgesetzt werden können.
Auch werden sowohl der sachliche Anwendungsbereich als vor allem auch der räumliche Anwendungsbereich des Datenschutzes ausgeweitet. Künftig fallen somit auch US-amerikanische Unternehmen, die in der EU in erster Linie über das Internet agieren, in die Verordnung. Es kann sich künftig also beispielsweise ein Anbieter, wie Snapchat oder WhatsApp nicht mehr darauf berufen, dass er nicht dem EU-Recht unterliegt. Jeder, der sich an EU-Bürger in datenschutzerheblicher Art und Weise wendet, wird künftig die neuen Regelungen beachten müssen.
Datenschutzgrundverordnung: Was ändert sich nun ganz konkret?
Was bedeutet das alles nun für Sie? Konkret bedeutet das, dass Sie jetzt beginnen müssen, ihre aktuellen datenschutzrechtlichen Prozesse zu evaluieren und auf der Basis des so festgestellten Status quo die erforderlichen Änderungen angehen und innerbetrieblich umsetzen müssen. Dabei sollten vor allem auch die Mitarbeiter einbezogen und mitgenommen werden, denn diese müssen künftig die neuen Regelungen leben und ausfüllen. So werden beispielsweise neue umfangreiche Dokumentationspflichten vorgegeben, die künftig von den Mitarbeitern erfüllt werden müssen.
Wie gesagt: Betroffen ist jedes Unternehmen. Dabei ist es nicht einmal erforderlich, dass das Unternehmen in der IT-Branche oder überhaupt im Internet tätig ist. Es reicht beispielsweise schon, wenn Sie in Ihrer Personalabteilung die Mitarbeiterdaten automatisiert erfassen und verarbeiten. Das dürfte wohl in jedem Unternehmen heutzutage der Fall sein. Dann fallen Sie aber schon vollumfänglich in das Datenschutzrecht und sind auch von den Änderungen betroffen.