GDPR ist keine Zeitbombe

In Mai tritt die neue Datenschutzgrundverordnung der EU in Kraft.

Die am 25. Mai in Kraft tretende Datenschutzgrundverordnung (GDPR) verursacht in der Geschäftswelt einen riesigen Wirbel. Häufig ist zu lesen, dass die Unternehmen sich auf gigantische Bußgelder gefasst machen müssen.

Gleichwohl ist die GDPR nicht eine Zeitbombe, sondern ein Betrachtungswechsel auf europäischer Ebene, der Behörden, Unternehmen und natürliche Personen in gleicher Weise betrifft. Gegenwärtig bestehen viele Unsicherheiten, da in Ungarn die mit der Verordnung konformen rechtlichen Regelungen noch nicht vorliegen, die geltenden Datenschutzregeln wurden nicht an die GDPR angepasst. Doch der Verzug des Gesetzgebers hindert die unmittelbare Anwendung der Verordnung nicht. Daher sind Unternehmen gehalten, mit den Vorbereitungen zu beginnen.

Zu beachten ist der Grundsatz, dass die GDPR auf alle Unternehmen anwendbar ist, die Daten von Unionsbürgern verarbeiten. Um den Regeln der GDPR zu entsprechen, ist die vollständige Umgestaltung der geschäftlichen Abläufe erforderlich und muss eine ständige Risikoanalyse stattfinden. Die Unternehmen sind verpflichtet, alles ihnen Zumutbare vorzunehmen, damit die Datenschutzrisiken minimiert werden. Dabei sollte die gesamte Datenschutzpraxis überprüft und neu geregelt werden, was offensichtlich einen erheblichen Zeit- und Kostenaufwand erfordert.

Eine wesentliche Neuerung ist, dass die Unternehmen nicht nur den Datenschutzregelungen entsprechen müssen, sondern hierfür auch die Beweislast tragen. In jedem Augenblick der Datenverarbeitung muss durch Dokumente nachweisbar sein, dass die Datenverarbeitung ordnungsgemäß ist. Hierzu muss die Datenverarbeitung regelmäßig überprüft werden. Um die Datensicherheit aufrechtzuerhalten, müssen entsprechende Sicherheiten in die Abläufe eingebaut werden und müssen die Arbeitnehmer geschult werden, damit die Bestimmungen der GDPR auch in der Praxis zur Anwendung kommen.

Das mögliche Bußgeld wurde tatsächlich enorm erhöht, jedoch sind die Chancen auf Bußgeldbescheide von 20 Millionen Euro relativ gering. Aufgrund der früheren Behördenpraxis ist das Bußgeld ein ultimatives Mittel, primär fordert die Behörde zum Einstellen der rechtswidrigen Tätigkeit auf und weist auf die erforderlichen Maßnahmen hin.

Vermutlich werden am 26. Mai nicht massenhaft Bußgeldbescheide verhängt werden. Nichts desto trotz ist es ratsam, Vorbereitungen zu treffen, die Risiken zu erwägen und für die dringendsten Fragen – unter Einbeziehung von Experten und rechtlichen Beratern – zeitnahe Lösungen zu suchen.

 

Quelle: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Newsletter abonnieren

Wenn Sie den Newsletter abonnieren, stimmen Sie zugleich unseren Datenschutzbedingungen zu.