Umsetzungsfrist für Unternehmen läuft mit dem 24.05.2018 ab
Als erster Teil der EU-weiten Datenschutzreform wird die EU-Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 anwendbar sein. Über die DS-GVO informierten wir bereits in unserem WTS Journal 04/2016. Seitdem hatten Unternehmen eineinhalb Jahre Zeit, ihre Organisation und Datenverarbeitung mit dem neuen Recht in Einklang zu bringen. Die DS-GVO wird als EU-Verordnung unmittelbar auch für Unternehmen in Deutschland anwendbar sein. Die Datenschutzaufsichtsbehörden haben zwischenzeitlich mehrere Leitlinien erlassen, die Unternehmen bei der Umsetzung berücksichtigen sollten.
Zusätzliche Umsetzung des neuen BDSG und ggfs. der ePrivacyVerordnung
In Ergänzung zur DS-GVO hat zwischenzeitlich auch der deutsche Gesetzgeber zahlreiche Ergänzungsvorschriften in einem reformierten neuen Bundesdatenschutzgesetz (BDSG) verabschiedet, das zusätzlich zur DS-GVO zeitgleich am 25.05.2018 anwendbar sein wird.
Neben den bisherigen Umsetzungsbestrebungen müssen Unternehmen nunmehr auch zusätzliche Spezialvorschriften nach dem BDSG beachten und ebenfalls in ihren Projekten zur Umsetzung der DS-GVO berücksichtigen. Das neue BDSG ergänzt die DS-GVO unter anderem im Hinblick auf:
- Pflichten zur Bestellung eines Datenschutzbeauftragten,
- Sondervorschriften zur Verarbeitung besonderer Arten personenbezogener Daten (z.B. Gesundheitsdaten),
- Anpassung der Rechtsgrundlagen zur Verarbeitung von Beschäftigtendaten.
Darüber hinaus befindet sich derzeit die sog. Verordnung über die Achtung der Privatsphäre und den Schutz personenbezogener Daten in der elektronischen Kommunikation („ePrivacy-Verordnung“) im EU-Gesetzgebungsverfahren, deren Anwendbarkeit gleichfalls für den 25.05.2018 angestrebt ist. Der veröffentlichte Entwurf sieht u.a. strengere (Einwilligungs-)Anforderungen für das Online-Tracking vor.
Hoher Bußgeldrahmen bei Nicht-Umsetzung
Für eine fehlende oder unzureichende Umsetzung und bei Verstößen gegen das Datenschutzrecht können unter der DSGVO in Zukunft Bußgelder von bis zu € 20 Mio. oder bis zu 4 % des weltweiten (Konzern-)Umsatzes verhängt werden, wobei auf den jeweils höheren Wert abzustellen ist. Ergänzt werden diese Sanktionsvorschriften durch die der ePrivacy-Verordnung sowie durch die Strafbarkeitsvorschriften des neuen BDSG.
Zwischenbilanz zum eigenen Umsetzungsstand ziehen und verbleibende Zeit nutzen
In Anbetracht der nur noch geringen Umsetzungszeit sollten Unternehmen ihre bisherigen Umsetzungsbemühungen kritisch prüfen. Die Umsetzung sollte die Leitlinien der Datenschutzbehörden sowie das neue BDSG berücksichtigen und auch Überlegungen zur ePrivacy-Verordnung beinhalten. Unternehmen, die mit den häufig umfangreichen Anpassungen ihrer Organisation und Datenverarbeitung noch nicht begonnen haben, dürften aufgrund der weitgehend bereits verstrichenen Umsetzungsfrist vor große Herausforderungen gestellt sein. Angesichts der Umsetzungsfrist von zwei Jahren, die bereits mit dem Inkrafttreten der DS-GVO im Jahre 2016 zu laufen begann, und den schon erlassenen Umsetzungsleitlinien der Aufsichtsbehörden erscheint es nicht unwahrscheinlich, dass im Falle von Verstößen gegen die DS-GVO bereits ab dem 25.05.2018 mit erheblichen Bußgeldern zu rechnen ist. Entsprechend drängt die Zeit. Etwaige Umsetzungslücken sollten nunmehr schnellstmöglich geschlossen werden.
