Mit 25. Mai 2018 treten neue gesetzliche Regelungen im Datenschutz in Kraft: Die Datenschutz-Grundverordnung (DS-GVO).
Bereits ab dem Datum des Inkrafttretens stehen hohe Strafdrohungen im Raum:
- Geldstrafen bis zu 20 Millionen Euro
- bzw. 4% des weltweiten jährlichen Umsatzes (je nachdem, welcher Betrag höher ist)
Unternehmen bekommen vielfältige Informationspflichten im Zusammenhang mit der Erfassung und Verarbeitung von Daten, aber auch bei Datenschutzverletzungen auferlegt. Nicht nur die Datenschutzbehörde kann rechtliche Schritte gegen ein Unternehmen einleiten, sondern auch die von der Datenverarbeitung Betroffenen sowie Mitbewerber. Die DS-GVO definiert unterschiedliche Gruppen von Daten. Je nachdem, wie „sensibel“ die Daten sind, unterliegt der Umgang damit verschieden strengen Schutzvorschriften. Damit verbunden sind auch unterschiedliche Strafrahmen bei Verletzung des Datenschutzes.
Eine wesentliche Änderung liegt in der Erfassung der datenschutzrelevanten Vorgänge:
Mit Inkrafttreten der DS-GVO obliegt es jedem Unternehmen selbst, Verarbeitungsverzeichnisse über die verschiedenen Datenverarbeitungen zu führen. Diese haben u.a. Informationen zu den betroffenen Personen, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen und Löschfristen zu enthalten. Sie dienen der Datenschutzbehörde zur Überprüfung, ob die gesetzlichen Anforderungen erfüllt werden bzw. sind wichtige Beweismittel in einem allfälligen gerichtlichen Verfahren.
Unter bestimmten Voraussetzungen sind Unternehmen dazu verpflichtet, Datenschutzbeauftragte zu definieren und entsprechend auszubilden. Dabei ist zu beachten, dass die Verantwortung für die Einhaltung der gesetzlichen Bestimmungen auch mit der Bestellung eines Datenschutzbeauftragten stets bei der obersten Unternehmensführung liegt.
Um auf die geänderten Anforderungen rechtzeitig vorbereitet zu sein, empfehlen wir eine zeitnahe Beschäftigung mit diesem komplexen Thema!