Image
Foto: © Jürgen Fälchle – stock.adobe.com
Anzeige

Die Zeit läuft

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) wird zur Verpflichtung – für alle. Rechtsanwalt Jürgen Toppe (LUTOP Data Compliance GmbH) erklärt, was jedes Unternehmen jetzt tun muss.



Die LUTOP Data Compliance GmbH wurde mit dem Ziel der umfassenden Datenschutzberatung gegründet. Zielsetzung war von Anfang an, rechtliches und technisches Know-how zu vereinen, um so die umfangreichen Aspekte des Datenschutzes und der Datensicherheit zusammenzubringen. Ihre Stärke ist, die Verzahnung zwischen rechtlichen und technischen Lösungen, um diese schnell und pragmatisch umzusetzen.

RM: Herr Toppe, am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) und auch das Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Welche Herausforderungen entstehen daraus für Ihre Kunden?

RA Jürgen Toppe: Es ist richtig, die DS-GVO ist am 25. Mai 2018 „scharf geschaltet“. Zeitgleich tritt ein dazu gehöriges deutsches Ergänzungsgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert.

Konkret ändert sich Folgendes:

Sanktionen: Der Gesetzgeber meint es ernst mit dem Datenschutz und ist denkbar ganz weit weg, Verstöße als Kavaliersdelikt durchgehen zu lassen. Bei Verstößen dagegen drohen bis zu 20 Mio. Euro oder zwei bis vier Prozent des weltweiten Vorjahresumsatzes des Unternehmens.

Datenschutzbeauftragte: Nach der DSGVO gehört die „Zusammenarbeit mit den Aufsichtsbehörde“ zu den Aufgaben des Datenschutzbeauftragten (DSB). Zudem können Kunden, Beschäftigte und andere „betroffene Personen … den DSB zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechts … im Zusammenhang stehenden Fragen zu Rate ziehen“ Art. 38 Abs 4 DSGVO). Damit wird der DSB zur Anlaufstelle für die Aufsichtsbehörden. Der sog. Düsseldorfer Kreis hat hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für den DSB beschlossen.

Meldepflichten: Unternehmen müssen Datenschutzvorfälle binnen 72 Stunden den Aufsichtsbehörden melden.

Datenschutz-Folgeabschätzung: Es muss eine Risikobewertung erfolgen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben.

Auskunftsrecht: Die Betroffenen haben ein umfassendes Auskunftsrecht. Dieses Recht bedeutet allerdings, dass die IT-Systeme und die Verarbeitungsprozesse sehr genau festgelegt sind.

Recht auf Datenübertragbarkeit (Datenportabilität): Der Betroffene kann seine Daten „mitnehmen“.

Nachweis-Zertifizierung: Künftig besteht explizit die Möglichkeit, die Erfüllung der gesetzlichen Pflichten durch Zertifizierungen nachzuweisen. Sicherheit der Verarbeitung: Es müssen grundlegende technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen getroffen werden.

Werbung: Dies wird dann spannend im Zusammenwirken mit der neuen ePrivacy-Verordnung.

Zusammenfassend kann man festhalten: Der Datenschutz ist nicht mehr länger nur eine Option, sondern vielmehr ein Muss. Versäumnisse in diesem Bereich können sich nicht nur in finanzieller Hinsicht negativ auf ein Unternehmen auswirken, sondern auch das Vertrauen von Kunden, Partnern und Dienstleistern nachhaltig erschüttern.

RM: Wie kann die LUTOP Data Compliance GmbH ihren Kunden da beistehen?

RA Jürgen Toppe: Dies kommt immer darauf an, ob der Kunde vielleicht schon ein bestehendes Datenschutzmanagement hat oder aber noch gar nicht damit angefangen hat. Unsere Spezialisten können den vorhandenen Datenschutzbeauftragten coachen oder wir stellen für eine Übergangszeit den externen betrieblichen Datenschutzbeauftragten. Wichtig ist vor allem, dass Unternehmen, nun sehr schnell Sicherheitsfachleute und Datenschutzexperten zusammen mit den Fachabteilungen an einen Tisch bringen, um alle Unternehmensprozesse nach einem sog. „Plan-Do-Check-Act“-Zyklus zu durchleuchten. Es zählt nicht die einzelne Lösung, sondern das Gesamtpaket. Denn Datenschutz ist auch gleich IT-Sicherheit.

RM: Welche Branchen sind durch die neue Verordnung betroffen?

RA Jürgen Toppe: Die DS-GVO kennt keine Ausnahmen und gilt für alle Branchen – auch für Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Architekten, Ärzte, Alten- und Pflegeheime; gleich ob es kleine Handwerksbetriebe oder Industrieunternehmungen, Verlage, (Werbe-) Agenturen, Online-Shops, Inkassobüros, Abrechnungsstellen, etc. sind.

RM: Herr Toppe, herzlichen Dank für das Gespräch.

Ausgabe 01/2018