Trotz der Tatsache, dass die Mitgliedstaaten eine zweijährige Umsetzungsfrist haben und die neue Gesetzgebung erst am 25. Mai 2018 in Kraft getreten ist, haben viele Unternehmen immer noch Schwierigkeiten, die erforderlichen betrieblichen Datenschutzverbesserungen vorzunehmen.

Dies gilt insbesondere, wenn man bedenkt, dass die DSGVO drastisch y höhere Strafen für Datenschutzverstöße vorsieht. Nach der neuen Gesetzgebung können Geldbußen von bis zu 20 Millionen Euro oder 4 % des Unternehmensumsatzes verhängt werden, was eine erhebliche Erhöhung darstellt.

Die wichtigsten Entwicklungen der EU-DSGVO auf einen Blick

Zunächst einmal erweitert die Datenschutz-Grundverordnung die Verantwortung der zuständigen Behörden in mehrfacher Hinsicht. Dies gilt auch für den Datenschutzbeauftragten: Die Datenschutz-Grundverordnung erlegt dem Datenschutzbeauftragten umfangreiche Überwachungspflichten auf. Einerseits wird dadurch sein Status innerhalb der Organisation gestärkt, andererseits erhöht sich aber auch die Schuld des Beauftragten, wenn er seinen Verpflichtungen nicht nachkommt.

Auch die Dokumentations- und Untersuchungspflichten der für die Datenverarbeitung verantwortlichen Organisationen wurden verschärft. Der für die Verarbeitung Verantwortliche muss nachweisen können, dass er sich stets an die Datenschutzstandards der DSGVO hält. Werden die Daten auf Auftragsbasis verarbeitet, muss der Auftragsverarbeiter der verantwortlichen Stelle alle erforderlichen Unterlagen vorlegen.

Der Begriff der Transparenz wurde im Rahmen der Datenschutzrichtlinien stark erweitert. Künftig muss der Betroffene in „präziser, klarer, verständlicher und leicht zugänglicher Form“ über die Art der Datenerhebung, -verarbeitung und -speicherung informiert werden.

Darüber hinaus verlangt die DSGVO von den Unternehmen, die von ihnen verarbeiteten Daten auf technologischer Ebene wirksam zu sichern. Dies war zwar auch schon unter den früheren Rechtsvorschriften erforderlich, doch droht nach der neuen Regelung nun eine Geldstrafe, wenn das Unternehmen seinen Verpflichtungen zur Datensicherung nicht nachkommt.

Außerdem sollten die IT-Systeme nach dem Konzept der Datenminimierung eingerichtet werden, was bedeutet, dass so wenig Daten wie möglich und nur die wichtigsten Daten erfasst und verarbeitet werden.

Auch die Rechte von Personen, die persönlich von der Datenverarbeitung betroffen sind, werden gestärkt. Die Erfüllung eines Vertrages darf nicht von der Erhebung von Daten abhängig gemacht werden, die für den konkreten Vertrag nicht erforderlich sind. Wer für die Erhebung von Daten verantwortlich ist, wird künftig stärker in die Pflicht zur Löschung genommen. Der Widerspruch der betroffenen Person ist einer der wesentlichen Gründe für die Löschung. Außerdem muss der Verantwortliche Dritte, an die er die gelöschten Daten weitergegeben hat, über die Notwendigkeit der Löschung informieren.

Im Wesentlichen erhöht die Datenschutz-Grundverordnung den Datenschutz auf europäischer Ebene, bringt aber auch einen erheblichen Mehraufwand für die Unternehmen mit sich. Die wesentlichen Änderungen sollten ernst genommen und so schnell wie möglich umgesetzt werden, insbesondere im Hinblick auf die erhöhte Haftung und mögliche Geldbußen.