Gastbeitrag von Heiko de Vries, Senior Business Solution Strategist, CEMEA bei VMware
In meinem jüngsten Blogbeitrag zur neuen EU-Datenschutz-Grundverordnung, die ab 25. Mai 2018 offiziell gelten wird, habe ich die wichtigsten daraus resultierenden Änderungen für Unternehmen erläutert. Kurz gesagt: Die neue EU-Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber definitiv eine Reihe von in der Praxis erheblichen Veränderungen auf, auf die ich nun genauer eingehen möchte. Besser gesagt auf die vorgesehenen Bußgelder und Sanktionen, die mit der Nichteinhaltung der neuen Vorgaben einhergehen können.
Datenschutz im Zeitalter von Big Data und Digitalisierung
Die EU-Datenschutzgrundverordnung (DSGVO) bringt den Datenschutz zurück auf die Vorstandsagenda! Warum? Ganz einfach: Sanktionen und Bußgelder in Millionenhöhe sensibilisieren auch das Top-Management. Wir sprechen hier von bis zu 20 Millionen Euro bzw. – wenn höher – 4 % des globalen Jahresumsatzes des Vorjahres des betroffenen Unternehmen! Bislang waren Bußgelder in solchen Höhen absolute Ausnahmen in der aufsichtsbehördlichen Praxis. Diese hohen Geldbußen sollen bewusst abschrecken und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Und vielleicht sogar noch schwerwiegender: Durch die sich daraus zwingende Offenlegungspflicht der Verstöße, führt eine Nichteinhaltung der neuen datenschutzrechtlichen Anforderungen neben den Bußgeldern und Sanktionen auch zu einem Vertrauensverlust bei Kunden und Mitarbeitern. Zudem sind individuelle Schmerzensgeld- und Schadensersatzforderungen der betroffenen Personen gegenüber den beteiligten Verantwortlichen möglich.
Es gibt – ähnlich wie beim neuen IT-Sicherheitsgesetz, das vor circa einem Jahr in Kraft getreten ist – Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten: Hier muss zwischen dem Auftragsverarbeiter und dem Verantwortlichen unterschieden werden. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. Der Verantwortliche hingegen muss unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, den Datenschutzaufsichtsbehörden, welche primär für die Kontrolle und Durchsetzung des Datenschutzrecht zuständig sind, Bericht erstatten. Außerdem sind die von dem Vorfall betroffenen Personen unverzüglich persönlich zu informieren.
Meine persönlichen Praxisempfehlungen
Die Regelungen zu Datenschutzordnungswidrigkeiten und -strafen sowie zum Schadensersatz entwickeln das europäische Datenschutzrecht fort, ohne es dabei vollkommen zu revolutionieren. Wie bisher auch können Datenschutzaufsichtsbehörden Datenschutzverstöße mit Bußgeldern sanktionieren. Für Unternehmen entscheidend ist dabei die drastische Erhöhung des Bußgeldrahmens auf 20 Millionen Euro und bei hohen Vorjahresumsätzen auch darüber hinaus. Diese Neuerung sollten Organisationen bei ihrer Compliance- und Risikomanagement-Strategie berücksichtigen und in gute Datenschutz-Compliance investieren. Weiter empfiehlt es sich, die Datenbestände, Datenflüsse und Datenverarbeitungsprozesse stets sorgfältig zu dokumentieren. Meiner Meinung nach sollte die Übergangsphases bis zur verbindlichen Anwendung der DSGVO auch als Chance verstanden werden: Neben der effektiven Verankerung des Datenschutzes im Unternehmen und der Vermeidung von hohen Bußgeldern und Sanktionen ergibt sich Möglichkeit, das Unternehmen als vorbildlichen Datenschützer darzustellen und damit zusätzliches Vertrauen bei Kunden wie Mitarbeitern zu gewinnen.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn & Youtube
