Prof. Clemens Pustejovsky

Prof. Clemens Pustejovsky

  • Rechtsanwalt
  • zert. Mediator

Zum 25. Mai 2018 läuft die Übergangsfrist der Datenschutzgrundverordnung (DSGVO) ab und das neue Bundesdatenschutzgesetz (BDSG) tritt in Kraft. Angesichts deutlich erhöhter Bußgelder (bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Umsatzes) und erheblicher Abmahnrisiken besteht Handlungsbedarf für Unternehmen und Freiberufler.

Zunächst ist zu prüfen, ob ein Betrieblicher Datenschutzbeauftragter bestellt werden muss, der bekanntzugeben und der Aufsichtsbehörde zu melden ist.

Daneben sind verschiedene Anpassung bei Verträgen und Formularen vorzunehmen:

  • Datenschutzerklärungen auf Internetseiten müssen abgeändert und ergänzt werden.
  • Schriftliche und elektronische Einwilligungserklärungen zur Datenverarbeitung müssen einen Hinweis zur Widerruflichkeit enthalten. Bei der Einwilligung Minderjähriger sind die neuen Vorgaben zur Einsichtsfähigkeit und den Altersgrenzen umzusetzen.
  • Die Verpflichtungen im Rahmen von Auftragsverarbeitung sind zu überarbeiten und an neue Vorgaben anzupassen.

In dem neuen Gesetz sind verschiedene neue Dokumentationspflichten vorgesehen: So wurde zum Beispiel im Rahmen des Beschäftigungsdatenschutzes die Beweislast umgekehrt, sodass Unternehmen zukünftig die Einhaltung datenschutzrechtlicher Vorgaben hinsichtlich Beschäftigungsdaten durch geeignete Dokumentation nachweisen müssen.

Im Rahmen der Prüfung der Datensicherheit wurde der zu dokumentierende Anforderungskatalog erweitert und insofern merklich ergänzt, als zukünftig insbesondere eine Prüfung der Schutzmaßnahmen anhand

  • des Stands der Technik (inkl. einschlägigen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI)),
  • der Implementierungskosten,
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und
  • der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen

zu gewährleisten und zu dokumentieren ist.

Das neue BDSG verlangt von Unternehmen die Implementierung komplexer neuer Prozesse. So ist beispielsweise bei der Einführung neuer Verfahren der Datenverarbeitung (wie neuer Hard- oder Software) eine sog. Datenschutzfolgeabschätzung vorzunehmen und zu dokumentieren. Vor jeder Datenerhebung sind Informationspflichten zu beachten. Bei Datenpannen sind strengere Meldepflichten an Aufsichtsbehörden und Betroffene vorgesehen, wobei insbesondere schnelle Reaktionszeiten (binnen 72 Stunden) zu organisieren sind.

Unser Beratungsangebot im Bereich Datenschutz ist aufgrund mehr als 15 Jahren Tätigkeit im Datenschutzrecht von Erfahrung und Spezialisierung geprägt. Auf unserer Website www.digitale-kanzlei.eu finden Sie Informationen, wie wir Sie unterstützen können.