Die zum 25. Mai 2018 geltende europäische Datenschutzgrundverordnung (kurz: DSGVO) setzt alle Freiberufler und Gewerbetreibende, welche sich bislang noch nicht umfassend auf die Gesetzesänderung vorbereiten haben, unter Zugzwang. Ärztliche Praxen und Unternehmen, die ebenfalls mit besonders sensiblen Daten agieren, haben sogar deutlich weitreichendere Pflichten zu erfüllen.

Aber was genau ändert sich?! Und was müssen Sie nun vor dem 25. Mai 2018 umsetzen?!

Zunächst sei gesagt, dass dies vom jeweiligen Einzelfall abhängt.

Wir werden in den kommenden Wochen an dieser Stelle einige exemplarische Beispiele veröffentlichen und ihnen so Anhaltspunkte an die Hand zu geben und eine erste Selbsteinschätzung zu ermöglichen.

Einen kurzen Überblick über die mannigfaltigen Verpflichtungen möchten wir Ihnen an dieser Stelle trotzdem geben:

 

  • Neue Informationspflichten bei der Einholung von Einwilligungen zur Datenverwendung
  • Weitreichende Dokumentationspflichten (wie beispielsweise das Führen eines Verfahrensverzeichnisses)
  • Prüfung aller datenschutzrelevanten Prozesse (hierzu: Datenschutzfolgenabschätzung – DSFA)
  • Ggf. Benennung eines Datenschutzbeauftragten (extern oder intern)
  • Auftragsverarbeitung durch Dritte (ACHTUNG: weitreichend): mit jedem Auftragsverarbeiter MUSS ein so genannter Auftragsverarbeitungs-Vertrag geschlossen werden
  • Das Datenschutzniveau muss durch technische und organisatorische Maßnahmen (TOM) sichergestellt werden (bspw. durch Verschlüsselung, Mitarbeiteranweisungen und -schulungen, etc.)

 

In unserem Rechts-Blog zum Datenschutzrecht werden wir Sie fortlaufend über die Prämissen und Besonderheiten der neun Datenschutzrechte (wie DSGVO und BDSG-2018) informieren.

 

Und zu guter letzt: Was droht eigentlich, wenn die gesetzlichen Vorgaben nicht eingehalten werden?

Die Konsequenzen sind nunmehr äußerst weitreichend: Nach Art. 82 der DSGVO wird nun eine Haftung und ein Schadensersatzanspruch der Betroffenen geregelt. Hinzu kommen insbesondere nicht unempfindliche Geldbußen von bis zu 10.000.000 € oder 20.000.000 € bzw. 2 % oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem welcher Betrag höher ist.

Für die Bemessung der Geldbußen ist entscheidend, dass diese wirksam und verhältnismäßig, aber vor allem auch abschreckend sein sollen. Es ist daher zu erwarten, dass ab dem 25. Mai 2018 deutlich höhere Bußgelder als bisher verhängt werden.

Aufgrund der zahlreichen Öffnungsklauseln der DSGVO kommen weitere Straf- und Bußgeldvorschriften der §§ 42, 43 BDSG-2018 hinzu. Es droht mitunter gem. § 42 Abs. 1 BDSG-2018 eine Freiheitsstrafe von bis zu 3 Jahren.

 

Sollten Sie konkrete Fragen oder eine unverbindliche Ersteinschätzung für Ihr Unternehmen / Ihre Einrichtung benötigen, stehen wir gerne zur Verfügung.

 

Ihr direkter Ansprechpartner für datenschutzrechtliche Fragestellungen:

Rechtsanwalt Dipl.-Jur. Dipl.-Kfm. Sebastian Günnewig. Er ist geschäftsführender Partner der Günnewig Muffert Rechtsanwälte Partnerschaftsgesellschaft mbB und berät insbesondere im IT- und Datenschutzrecht. Er ist zertifizierter Datenschutzbeauftragter (TÜV) und Mitglied der Arbeitsgemeinschaft IT-Recht des Deutschen Anwaltvereines (DAVIT) e.V. sowie Mitglied der deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V.