Ein Jahr EU-DSGVO: Herzlichen Glückwunsch! Aber was hat sich überhaupt geändert?

LEXDATA zündet eine Geburtstagskerze an, bringt Licht ins Dunkle: Eine griffige Zusammenfassung der Änderungen und Konsequenzen der vor einem Jahr in Kraft getretenen EU-DSGVO …

Eine griffige Zusammenfassung der Änderungen und Konsequenzen der vor einem Jahr in Kraft getretenen Europäischen Datenschutzgrundverordnung sowie deren Bedeutung für alle Beteiligten.

Die Verantwortlichen – also jene, die die Datenschutzgrundverordnung anzuwenden haben – sollten inzwischen sicher sein, ihren Datenschutz rechtlich „in trockenen Tüchern“ zu haben. Aber sind sie das? Denn was Klarheit und Sicherheit bringen sollte, hat für große Verwirrung gesorgt. Und die Verunsicherung ist in weiten Teilen noch groß …

Bis zum Ablauf der Übergangsfrist der EU-DSGVO am 25. Mai 2018, also vor einem Jahr, wurden häufig in aller Eile Datenschutz-Dokumentationen notdürftig erstellt. Höchste Zeit, diese auf Qualität und Nachhaltigkeit zu überprüfen, denn nun werden Prüfungen der Aufsichtsbehörden im Hinblick auf die Datenschutzkonformität erfolgen. Aber auch innerbetriebliche Prüfungen, wie zum Beispiel durch das Risk- oder Compliance-Management, können den Datenschutz zum Gegenstand haben. Ganz zu schweigen von den Folgen eines Reputationsschadens für das betroffene Unternehmen. Denn das Thema ist beim Verbraucher längst angekommen.

Fakten auf den Tisch: Im ersten Jahr wurden laut Medienberichten bereits in 75 Fällen Bußgelder verhängt.

Nur mit Bordmitteln dümpeln viele Dokumentationen aufgrund mangelnder Übersicht seit vielen Monaten in Unternehmen von To-do-Liste zu Agenda und zurück … manchmal ist spezialisierte Unterstützung von außen notwendig, um Projekte qualitätsvoll zum Abschluss zu bringen.

Als Antwort bietet LEXDATA ein Datenschutz-Managementsystem als systematisiertes Lösungspaket für Unternehmen und Institutionen jeder Größe, um damit wertvolle Rechtssicherheit für die Datenschutz-Dokumentation zu erlangen: maßgeschneidert angepasst an den eigenen Bedarf, effizient und nachhaltig implementiert. Denn ansonsten drohen empfindliche Bußgelder sowie unkalkulierbare Risiken bei Stakeholdern und in der Öffentlichkeit.

„Ein Jahr EU-DSGVO. Herzlichen Glückwunsch, Datenschutz!
Aber was hat sich überhaupt geändert?“

Am 04.05.2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) im Amtsblatt der Europäischen Union veröffentlicht worden, damit begann die zweijährige Umsetzungsfrist für die Verantwortlichen, also Unternehmen, Vereine, Stiftungen und Behörden, die neuen gesetzlichen Vorgaben bis zum 25.05.2018 umzusetzen.

Während der zweijährigen Umsetzungsfrist wurden von den verantwortlichen Stellen Heerscharen von Beratern engagiert, die die drohenden Bußgelder abwenden sollten. Projekte mit hochtrabenden Namen, wie „Implementation of GDPR“, „GDPR compliance“ oder „DSGVO@XY“ wurden ins Leben gerufen, innerbetriebliche Prozesse wurden neu dokumentiert, die gerade teuer erstellten Dokumentationen wieder verworfen und neu erstellt. So recht wusste jedenfalls niemand, was er eigentlich machen sollte.

Google liefert für den Suchbegriff „EU-DSGVO“ über 40 Millionen Ergebnisse. Natürlich findet Google darunter auch eiligst erstellte neue „EU-DSGVO-konforme“ Datenschutzhinweise von Webseitenbetreibern, aber eben auch eine Vielzahl von mehr oder weniger hilfreichen Umsetzungshilfen selbsternannter Datenschutzexperten.

Die Frage, die sich stellt, ist schlicht: Brauche ich in meinem Unternehmen, in meinem Verein, in meiner Stiftung, in meiner Behörde, überhaupt einen externen Berater, der die aus der Datenschutzgrundverordnung resultierenden Pflichten erfüllt?

Was hat sich überhaupt geändert?
Nichts, zumindest nicht viel!

Das Bundesdatenschutzgesetz (a.F.) erlaubte die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten nur dann, wenn ein sogenannter Erlaubnisvorbehalt bestand. Dies ist das sogenannte „Verbot mit Erlaubnisvorbehalt“. Ein solcher Erlaubnisvorbehalt bestand beispielsweise dann, wenn ein bestehendes Vertragsverhältnis mit dem Betroffenen vorlag, ein Vertrag angebahnt werden sollte, der Betroffene in die Verarbeitung eingewilligt hat oder eine spezialgesetzliche Vorschrift die Verarbeitung erlaubte.

Und wie ist es heute?
Genauso!

Die Rechtmäßigkeit der Verarbeitung ergibt sich im Wesentlichen aus Artikel 6 DSGVO. Demnach ist es erlaubt, personenbezogene Daten zu verarbeiten, wenn

a) die betroffene Person eine Einwilligung erteilt hat,
b) die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist,
c) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
d) um lebenswichtige Interessen zu schützen,
e) die Verarbeitung im öffentlichen Interesse liegt,
f) in Ausübung öffentlicher Gewalt erfolgt oder
g) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erfolgt.

Daraus folgt, dass sich im Hinblick auf die Erlaubnis zu Datenerhebung, deren Verarbeitung und Nutzung im Vergleich zum Bundesdatenschutzgesetz (BDSG a.F.) nicht viel geändert hat.
Soweit ein Unternehmen – und davon dürfte im weit überwiegenden Teil auszugehen sein – mit einer natürlichen Person einen Vertrag geschlossen hat, ist die damit im Zusammenhang stehende Datenverarbeitung nach-wie-vor rechtmäßig.

Es ist also vertretbar zu behaupten, dass eine Datenverarbeitung, die den Voraussetzungen des BDSG (a.F.) genügte, auch den Ansprüchen der EU-DSGVO genügt.

Dennoch…
Noch mehr Bürokratie

Der Gesetzgeber hat den Verantwortlichen eine Reihe weiterer Dokumentationspflichten auferlegt, welche im Falle der Versäumnis mit ganz erheblichen Bußgeldern belegt werden können und genau hier gilt es anzusetzen.

Was tun, sprach Zeus…
Von Ratlosigkeit zur Lösung

Die Einhaltung der Vorgaben der Rechenschaftspflicht kann umfassend durch ein Datenschutz-Managementsystem sichergestellt und nachgewiesen werden.
Das Datenschutz-Managementsystem von LEXDATA passt sich komplexen Sachverhalten unterschiedlicher Unternehmen verschiedener Branchen wie maßgeschneidert an und stellt die Erfüllung der umfangreichen datenschutzrechtlichen Verpflichtungen sicher.

Getreu dem Motto „ein gutes Pferd springt nicht höher, als es muss“ verfolgt LEXDATA hierbei den Ansatz, die gesetzlichen Anforderungen vollumfänglich, vor allem aber auch in wirtschaftlich vernünftigem Umfang umzusetzen.

Ausgehend von den Fragen „welche konkreten rechtlichen Verpflichtungen hat der Verantwortliche gegenüber dem Gesetzgeber? An welchen Stellen des Unternehmens drohen Gefahren im Hinblick auf eine nachteilige Rechtsfolge? Und an welchen Stellen stehen Reputationsschäden zu befürchten?“ werden die relevanten Fragen beantwortet, die einzelnen Pflichten nachvollziehbar priorisiert und dokumentiert sowie die rechtlichen Verpflichtungen gegenüber den Betroffenen erfüllt.

https://www.lexdata.de/news

Verantwortlicher für diese Pressemitteilung:

LEXDATA Consulting GmbH
Herr Jens Kränke
Von-Arenberg-Straße 5-7
40668 Meerbusch
Deutschland

fon ..: 02159 / 922 53 74
fax ..: 02159 / 922 75 42
web ..: https://lexdata.de
email : post@lexdata.de

Zur LEXDATA Consulting GmbH:

LEXDATA versteht sich als Full-Service-Dienstleister für die Belange des Datenschutzes, der Datensicherheit und Revision.
LEXDATA bietet spezialisiertes Datenschutz-Know-how für die individuellen Bedürfnisse aus Industrie, Handel und Dienstleistung – mit branchenunabhängigem Beratungsansatz. Dank der Entwicklung eines Datenschutz-Managementsystems wird die Einhaltung der Rechenschaftspflicht für die Kunden effizient und einfach.
Auf die Expertise von LEXDATA, mit Sitz in Meerbusch, vertrauen namhafte Unternehmen von Automotive über Luftfahrt und Telekommunikation bis hin zur Zahlungsdienstleistung, im In- und Ausland, seit mehr als 10 Jahren.

Datenschutz-Compliance gibt Unternehmen und Unternehmern die spürbare Sicherheit, sich auf Ihr Geschäft konzentrieren zu können.

https://www.lexdata.de/news

Pressekontakt:

LEXDATA Consulting GmbH
Frau Anja Mekelburger
Von-Arenberg-Straße 5-7
40668 Meerbusch

fon ..: 02159 / 922 53 74
email : a.mekelburger@lexdata.de

Disclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.