Das neue Datenschutzrecht – bald gilt’s!
Doppelpack bedeutet großen Handlungsbedarf für alle Unternehmen
Der Gesetzgeber hat die Buß gelder erheblich angehoben und damit klargemacht, wie ernst es ihm mit dem Datenschutz ist: Bis zu 20 Mio. Euro bzw. vier Prozent des weltweiten Umsatzes drohen bei Verstößen gegen die neuen Datenschutzregeln. Datenschutzrechtliche Regelungen dienen dem Schutz sogenannter personenbezogener Daten. Das sind Angaben, die sich auf eine Person beziehen, wie beispielsweise der Name, das Alter oder das Geburtsdatum einer Person. Ebenso können aber auch die Telefonnummer, E-Mail-Adresse, IP-Adresse, Kreditkartennummer oder auch ein Foto der Person darunter fallen. Praktisch jedes Unternehmen hat solche Daten bei sich gespeichert, sei es von Kunden, Lieferanten oder Mitarbeitern. Das Datenschutzrecht stellt Regeln auf, wie Unternehmen mit solchen Daten umgehen müssen. Von den Neuregelungen sind so gut wie alle Unternehmen betroffen. Schon der Betrieb einer Internetpräsenz macht es erforderlich, eine rechtskonforme Datenschutzerklärung auf der Website vorzuhalten, denn die Besucher hinterlassen mindestens ihre IP-Adressen – und damit personenbezogene Daten. Da der Gesetzgeber künftig verstärkt auf Transparenz- und Informationspflichten der Unternehmen setzt, müssen die bislang auf der Homepage verwendeten Datenschutzerklärungen gründlich überarbeitet werden. Aber auch auf Mitarbeiterebene entstehen zahlreiche neue Pflichten. So müssen die Unternehmen dafür sorgen, dass ihre Mitarbeiter sorgfältig zu datenschutzrechtlichen Fragen geschult werden, sodass sie in der Lage sind, den betrieblich vorgeschriebenen Datenschutz tatsächlich umzusetzen. Dies kann beispielsweise den Versand von E-Mails oder Newslettern betreffen, in denen jeweils personenbezogene Daten verwendet werden, aber auch einfache Auskünfte am Telefon. Nach dem Willen des Gesetzgebers ist der Datenschutz künftig „Chefsache“. Es obliegt der Geschäftsführung, ein rechtssicheres Datenschutzmanagement auf die Beine zu stellen und die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen. In diesem Zusammenhang ist es beispielsweise für viele Unternehmen erforderlich, ein sogenanntes Verfahrensverzeichnis zu erstellen, in dem sämtliche datenschutzrechtlich relevanten Verarbeitungsvorgänge wie etwa das Speichern, Bearbeiten oder Versenden personenbezogener Daten katalogisiert werden müssen. Ferner müssen viele Unternehmen künftig einen Datenschutzbeauftragten benennen, und zwar regelmäßig schon ab zehn Mitarbeitern. Darüber hinaus sind die Daten verarbeitenden Unternehmen auch verpflichtet, nicht mehr benötigte Daten unverzüglich zu löschen, und zwar proaktiv, also auch ohne entsprechende Aufforderung des Betroffenen. Dies erfordert die Festlegung bestimmter Löschroutinen. Mit dem deutlich ausgeweiteten Bußgeldrahmen hat der Gesetzgeber einen Weckruf geschickt. Unternehmen, bei denen das Datenschutzrecht bislang ein Nischendasein gefristet hat, sollten die verbleibenden zwei Monate nutzen und das Thema kurzfristig auf die Agenda setzen, um ihr Unternehmen fit für die neue Rechtslage zu machen.
In gerade einmal zwei Monaten treten die neue europäische Datenschutz-Grundverordnung (DS-GVO) und das neue deutsche Bundesdatenschutzgesetz (BDSG) im Doppelpack in Kraft.