}

Was bedeutet die DS-GVO für Unternehmen?

Alles neu macht der Mai«: Die Datenschutzordnung erhielt im Mai 2018 ein vollkommen neues Gesicht. Ein Jahr zuvor, ebenfalls im Mai, hatte der Bundesrat dem »Datenschutzanpassungsgesetz« zugestimmt, das im Kern ein neues Bundesdatenschutzgesetz enthält (BDSG). Damit war der Weg frei für eine neue Datenschutzordnung in Deutschland.

Für die Unternehmen ist dabei im Wesentlichen die wiederum im Mai ein Jahr zuvor, also 2016, verabschiedete Datenschutzgrundverordnung der EU (DS-GVO) ausschlaggebend. Diese wird nur punktuell durch das neue BDSG ergänzt. Das Novellenpaket aus EU-Verordnung und Bundesgesetz erlangte ab dem 25. Mai 2018 Wirkung.

Entscheidende Bestimmungen künftig in der DS-GVO
Entscheidende Bestimmungen für Unternehmen, insbesondere zur Zulässigkeit der Datenverarbeitung, finden sich künftig wie erwartet in der DS-GVO. Aus dieser ergibt sich allerdings auch ein nicht zu unterschätzender Handlungsbedarf. Dieser besteht weniger zwingend mit Blick auf die Anpassung der eigentlichen Datenverarbeitungsprozesse hinsichtlich ihrer materiellen Zulässigkeit, sondern vielmehr in deren Dokumentation und Begründung.

So verlangt Art. 5 Abs. 2 DS-GVO umfassende Dokumentationspflichten, Art. 24 Abs. 2 DS-GVO generiert verschärfte Vorgaben für die technischen und organisatorischen Maßnahmen zum Nachweis der Rechtmäßigkeit der Datenverarbeitung, Art. 30 DS-GVO macht detaillierte Vorgaben zum Verzeichnis der Verarbeitungstätigkeiten und nach einer umfassenden Risikoabwägung kann Art. 35 DS-GVO sogar eine umfangreiche Datenschutzfolgenabschätzung erfordern.

Darüber hinaus ist zu gewährleisten, dass bei Datenschutzverletzungen eine unmittelbare Meldung an die Aufsichtsbehörden mit kurzer Frist erfolgt (Art. 33 Abs. 1 S. 1 DS-GVO), an die im Übrigen auch der Datenschutzbeauftragte namentlich gemeldet werden muss (Art. 37 Abs. 7 DS-GVO).

Hier erfordert die DS-GVO eine substantielle Anpassung der Organisationsprozesse im Unternehmen. Verantwortlich dafür ist in erster Linie der Vorstand bzw. Geschäftsführer. Eine sorgfältige Analyse der Anforderungen der DS-GVO ist demnach essentiell, zumal je nach Aufstellung des Unternehmens auch noch gänzlich neue Pflichten hinzukommen können wie die Absicherung des Rechts auf Datenportabilität nach Art. 20 DS-GVO.

Überschaubare zusätzliche Regelungen aus dem BDSG
Wesentlich überschaubarer sind hingegen die zusätzlichen Regelungen aus dem neuen BDSG. Für den Arbeitnehmerdatenschutz und auch für einzelne andere Fragen – etwa die Betroffenenrechte – wird aber weiterhin zusätzlich der Blick in das BDSG erforderlich bleiben.

Compliance-Notwendigkeit in Unternehmen
Der Wechsel vom Rechtssystem einer Richtlinie mit primär relevanten nationalen Umsetzungsgesetzen hin zu einer zentralen EU-Verordnung mit allerdings weiterhin bestehender Begleitgesetzgebung nationaler Provenienz verursacht bei den betroffenen Unternehmen nicht unerhebliche Migra-tionskosten.

Dabei dürften die abschreckenden Sanktionen und die umfassendere Haftung für Datenschutzverstöße die Compliance-Notwendigkeit in den betroffenen Unternehmen deutlich erhöhen.

Es ist zu hoffen, dass die allgemeinen Migrationskosten überkompensiert werden durch die langfristigen Vorteile einer verbesserten Harmonisierung des Datenschutzvollzugs in der Europäischen Union. Gerade grenzüberschreitend tätige Unternehmen werden davon profitieren.

Wichtig wird künftig aber vor allem sein, dass die Aufsichtsbehörden und die Rechtsprechung mit dem EuGH an der Spitze bei der Rechtsanwendung die richtige Balance finden zwischen einem hohen Datenschutz einerseits und einem möglichst freien Datenfluss andererseits – auch im Interesse der Verbraucher.

Dr. Benedikt Buchner LL.M. (UCLA)

Professor am Institut für Informations-, Gesundheits- und Medizinrecht der Universität Bremen

Prof. Dr. Jürgen Kühling LL.M.

Lehrstuhl für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg

Mehr zur Datenschutz-Grundverordnung

nach oben

Ihre Daten werden geladen ...