Europaweite Datenschutz-GV: „Unternehmen müssen Datenverarbeitung anpassen“
- 12.08.2016
- Monitor
- red.
Unternehmen sollten daher schon jetzt beginnen, ihre Strukturen für die Datenverarbeitung anzupassen. Darauf weist die Beratungs- und Wirtschaftsprüfungsgesellschaft Rödl & Partner hin. Auch wenn die Verordnung erst am 25. Mai 2018 in Kraft trete, so sollten sich die Unternehmen frühzeitig auf die Veränderungen einstellen. Bisherige Regelungen wie das deutsche Bundesdatenschutzgesetz (BDSG) sind dann nicht mehr anwendbar. Die Verordnung stellt neue Datenschutzgrundsätze auf wie die Pflicht zu datenschutzfreundlicher Prozessgestaltung und fordert von Unternehmen die jederzeitige Rechenschaft über ihre Einhaltung. Sie regelt die Zulässigkeit der Verwendung personenbezogener Daten, insbesondere auch bei einer Übermittlung in Länder außerhalb der EU.
Neue Grundsätze und Rechenschaftspflicht
Im aktuellen Bundesdatenschutzgesetz (BDSG) ist lediglich der Grundsatz der Datensparsamkeit bereits ausdrücklich enthalten. Der künftige, vergleichbare Grundsatz der „Datenminimierung“ sieht vor, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Datenverarbeitung ist damit als Ultima Ratio nur und nur so lange zulässig, wie andere Maßnahmen den Zweck nicht ohne die Verarbeitung personenbezogener Daten erreichen.
Damit einher geht der Grundsatz der Speicherbegrenzung, wonach die Daten jedenfalls in einer die betroffenen Personen identifizierenden Art und Weise nur so lange gespeichert werden dürfen, wie es für den Verarbeitungszweck erforderlich ist. Unabhängig von einem Recht der betroffenen Person auf Löschung seiner personenbezogenen Daten ist daher auch der Verantwortliche selbst verpflichtet, durch feste Löschroutinen nicht mehr erforderliche personenbezogene Daten zu vernichten. Insbesondere ist damit der Aufbau einer „Vorratsdatensammlung” unzulässig.
Die Datenverarbeitung muss zudem rechtmäßig sein. Das ist nur dann der Fall, wenn zumindest eine der abschließend aufgezählten Rechtsgrundlagen die Datenverarbeitung gestattet. Im Übrigen ist die Verarbeitung personenbezogener Daten unzulässig. Dies entspricht dem bisherigen „Verbot mit Erlaubnisvorbehalt” des BDSG.
Rechenschaftspflicht
Der für die Datenverarbeitung Verantwortliche ist schließlich verpflichtet, die Einhaltung der dargestellten Datenschutzgrundsätze sicherzustellen und muss die Einhaltung nachweisen (Rechenschaftspflicht). Insbesondere die Nachweispflicht birgt ein erhebliches Risikopotenzial: Der Verantwortliche muss nicht nur die die Erhebung und Verarbeitung personenbezogener Daten im Unternehmen daraufhin überprüfen, ob sie anhand der Datenschutzgrundsätze und der weiteren detaillierten Regelungen der Verordnung zu irgendeinem Zeitpunkt rechtmäßig erfolgen. Zum Nachweis der Einhaltung der Grundsätze wird er vielmehr regelmäßige Kontrollen durchführen und deren Ergebnisse dokumentieren müssen.
Ein Verstoß gegen die Datenschutzgrundsätze und damit auch gegen die Rechenschaftspflicht kann mit einem Bußgeld von bis zu 20 Millionen Euro geahndet werden.
Weiterführende Informationen zur Datenschutz-Grundverordnung stellt Rödl & Partner auf seiner Website zur Verfügung.
Kontakt: www.roedl.de