Nach einer aktuellen Umfrage des Branchenverbandes Bitkom e.V. hat sich jedes fünfte Unternehmen noch nicht mit dem Thema Europäische Datenschutz-Grundverordnung beschäftigt.

Zwar gilt die Verordnung erst ab 25.05.2018. Allerdings lassen sich die Vorgaben nicht im Vorbeigehen umsetzen. So enthält die europäische Verordnung beispielsweise folgende Vorgaben:

• Für jede Speicherung eines personenbezogenen Datums muss festgelegt werden, zu welchem Zweck sie erfolgt und auf welche rechtliche Grundlage sie gestützt wird. Dies muss dem Betroffenen sogar mitgeteilt werden.
• Die Dauer, für die die Daten gespeichert werden, muss fixiert werden, mindestens jedoch die Kriterien für die Festlegung dieser Dauer. Auch diese Information ist zur Verfügung zu stellen.
• Auskunftsanfragen eines Betroffenen sind innerhalb eines Monats zu beantworten.
• Die Vereinbarungen zur Auftragsdatenverarbeitung (bisher § 11 Bundesdatenschutzgesetz) sind an die zukünftige Rechtslage anzupassen.
• Die getroffenen Maßnahmen, um ein angemessenes Datenschutz- und Sicherheitsniveau zu erreichen, müssen dokumentiert werden. Nur so kann man der Aufsichtsbehörde nachweisen, dass man die Grundsätze zur Verarbeitung personenbezogener Daten einhält („Rechenschaftspflicht“).

Eine Übergangsfrist ist nicht vorgesehen. Der Verordnungstext ist bereits seit Mai 2016 bekannt.

Der Bußgeldrahmen wurde auf 20 Mio. Euro für Personen und 4 % des weltweiten (konzernweiten!) Unternehmensjahresumsatzes angehoben.

Die Vorschrift sieht erstmals ausdrücklich immateriellen Schadensersatz, also Schmerzensgeld, für Datenschutzverletzungen vor. Deshalb ist damit zu rechnen, dass gewiefte Geschäftemacher versuchen werden, Profit aus den Fehlern anderer zu ziehen (insbesondere bei den Verstößen gegen die sog. Betroffenenrechte).

Wenn noch nicht geschehen, sollten Unternehmen ihren Datenschutzbeauftragten konsultieren, um die richtigen Maßnahmen zur Einführung der Datenschutz-Grundverordnung einzuleiten.