Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO)

Mit der Datenschutz-Grundverordnung wird das Datenschutzrecht in Europa stärker vereinheitlicht sowie das Datenschutzrecht modernisiert. Mit ihr setzt die EU im globalen Maßstab ein starkes Signal für einen Datenschutz, der sich vor allem an den Interessen des einzelnen Menschen orientiert.

Der Datenschutz spielt in der Europäischen Union damit zukünftig eine noch wichtigere Rolle, als das bislang der Fall war. Sich mit den Neuerungen auseinanderzusetzen ist mehr als empfehlenswert, denn für die verspätete Umsetzung der neuen Vorgaben drohen Bußgelder bis 20 Mio. EUR und mehr.

TÜV Rheinland steht Ihnen mit Rat und Tat zur Seite!

Die Übergangsfrist endet am 25. Mai 2018. Ab diesem Zeitpunkt gelten die neuen umfassenden Datenschutzgesetze der EU sowie den einzelnen Mitgliedsländern.
Nutzen Sie die verbleibende Zeit und bereiten Sie sich optimal auf die Umstellung vor.
Wir unterstützen Sie dabei mit unseren vielfältigen Leistungen:

seminar

Effiziente Weiterbildung

Bilden Sie sich mit den Seminaren und Lehrgängen der TÜV Rheinland Akademie gezielt weiter. In unserem Weiterbildungangebot verschaffen Sie sich das nötige und erforderliche Wissen, um die EU-DSGVO in Ihrem Unternehmen sicher und effizient umzusetzen.

Mehr Infos
seminar

Datenschutz-Beratung

Unser Datenschutz-Team von AMD TÜV Rheinland berät umfassend zu allen relevanten Fragen rund um den Datenschutz und sorgt für die Erfüllung der Rechtsvorschriften. Egal ob Datenschutz-Check oder externer Datenschutzbeauftragter - wir finden für Sie  schnell umsetzbare Lösungen.

Mehr Infos
seminar

Vorschriftensammlung Datenschutz 

Alle relevanten Vorschriften für den Umgang mit personenbezogenen Daten in Unternehmen. Neben DSGVO und BDSG finden Sie hier datenschutzrelevante Abschnitte und Paragraphen aus über 60 nationalen Gesetzen und Verordnungen.

Mehr Infos
Download

Broschüre EU-DSGVO


"Unternehmen müssen ein komplexes Datenschutzmanagement installieren"

Intervie mit Harald Riebold, Externer Datenschutzbeauftragter, TÜV Rheinland AG.

EU-Datenschutz-Grundverordnung – Was müssen Unternehmen beachten?

Die EU-Datenschutz-Grundverordnung vereinheitlicht ab 25. Mai 2018 die Datenschutzstandards in der gesamten Europäischen Union. Bis zu diesem Zeitpunkt müssen alle Organisationen, die personenbezogene Daten verarbeiten ihre Abläufe an die neuen gesetzlichen Vorgaben angepasst haben und erhöhte rechtliche, betriebliche und technisch-organisatorische Anforderungen erfüllen. Dazu ist es erforderlich, die Datenschutzpraxis und das Datenschutzmanagement zu prüfen und die notwendigen Anpassungen vorzunehmen.

 

Was ist das Ziel der EU-Datenschutz-Grundverordnung und welche Bereiche im Unternehmen sind von den Änderungen betroffen?

 Die EU-Datenschutz-Grundverordnung (DSGVO) gilt in allen Mitgliedsländern der Europäischen Union (EU). Sie stärkt und präzisiert die Rechte der Personen, deren persönliche Daten verarbeitet werden. Zugleich verschärft sie die Pflichten für alle, die personenbezogene Daten verarbeiten, für Unternehmen, Behörden, aber auch Freiberufler und Selbstständige. Dadurch soll ein EU-weiter wirksamer Schutz personenbezogener Daten möglich werden. Durch die Vereinheitlichung des Datenschutzrechtes in der EU werden der Datenaustausch und die Zusammenarbeit bei der Verarbeitung personenbezogener Daten harmonisiert. Die DSGVO gilt dabei auch für Unternehmen, die ihren Sitz außerhalb der EU haben, aber Kunden in der EU Waren oder Dienstleistungen anbieten.


Von den Änderungen betroffen sind alle Unternehmensbereiche, die personenbezogene Daten erheben und verarbeiten. Dazu gehören beispielsweise der Vertrieb und das Marketing ebenso wie die Personalabteilung.

 

Welche Konsequenzen ergeben sich für Unternehmen daraus, dass mit der neuen Verordnung die Nutzerrechte gestärkt werden?

 Wie bisher gilt bei der Verarbeitung personenbezogener Daten der Grundsatz, dass die Nutzung persönlicher Daten nur erlaubt ist, wenn sie gesetzlich vorgesehen ist oder die betroffene Person ausdrücklich eingewilligt hat. Werden Daten zum Beispiel zur Abwicklung eines Kaufvertrags erhoben, dürfen sie nicht automatisch für andere Zwecke genutzt werden. Zudem verschärft die DSGVO die Grundsätze der Datensparsamkeit und der Transparenz. Auch die Informationspflicht wurde erweitert, das Recht auf Widerruf und Löschung gestärkt.


Für Unternehmen ergeben sich vielfältige Aufgaben. Sie reichen von der Anpassung der Datenschutz- und Einwilligungserklärungen zur Datenverarbeitung bis hin zur Definition von Prozessen, wie Widersprüche und Widerrufe ausgeführt werden. Auch die Verträge mit Dienstleistern, beispielsweise in der Auftragsdatenverarbeitung, müssen entsprechend gestaltet werden.

 

 

Aufwand für Unternehmen ergibt sich unter anderem aus der in Artikel 22 geregelten Rechenschaftspflicht, aber auch durch erweiterte Bestimmungen zur Datensicherheit. Was ist darunter zu verstehen?

 

Die Rechenschaftspflicht besagt, dass Behörden, Unternehmen, aber auch Selbstständige und Freiberufler geeignete und den Stand der Technik widerspiegelnde technische und organisatorische Maßnahmen treffen müssen, um personenbezogene Daten entsprechend dem geltenden Recht zu verarbeiten. Dieses Vorgehen müssen die Verarbeiter von Daten dokumentieren.


Im Hinblick auf die Datensicherheit gewinnen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der zur Datensicherheit verwendeten Systeme an Bedeutung. Die Schutzmaßnahmen müssen entsprechend dem jeweiligen Schutzbedarf gewählt werden. Dieser risikobasierte Ansatz macht die Forderung nach einem Prozess für Risikomanagement zur Festlegung geeigneter technisch-organisatorischer Maßnahmen deutlich. Bei besonders sensiblen Daten wird eine „Datenschutz-Folgeabschätzung“ notwendig. Jeder, der Daten verarbeitet, muss seine Abläufe auch in dieser Hinsicht prüfen und anpassen.

 

Warum ist es für Firmen wichtig, ihre Internet-Präsenzen und ihre Datenverarbeitung zum Stichtag 25. Mai 2018 an die neuen Vorgaben anzupassen? Was kann passieren, wenn diese Anpassung nicht erfolgt?

 

Die DSGVO wurde am 4. Mai 2016 im Europäischen Amtsblatt veröffentlich und trat am 25. Mai 2016 mit einer Übergangsfrist von zwei Jahren in Kraft. Damit gilt sie ab dem 25. Mai 2018 und ersetzt die bis dahin gültigen Rechtsvorschriften. Alle sich aus der Neuregelung ergebenden Rechte und Pflichten müssen daher ab dem 25. Mai 2018 erfüllt sein.

Kommen Unternehmen und Behörden diesen Pflichten nicht nach und schaffen kein entsprechendes Datenschutzmanagement, drohen deutlich erhöhte Bußgelder.

 

Wie können Unternehmen sicherstellen, dass sie zum Stichtag 25. Mai 2018 die Bestimmungen der DSGVO erfüllen?

 Der erste Schritt ist die Analyse der vorhandenen Datenschutzmaßnahmen in der Organisation. Zur Erfassung des Ist-Zustandes hat sich zum Beispiel der Datenschutz-Check von TÜV Rheinland bewährt. Im nächsten Schritt erfolgt ein Abgleich der ermittelten Ist-Situation mit den neuen Anforderungen und eine Bewertung der Aufwände. Ziel ist es, ein komplexes Datenschutzmanagement im Unternehmen zu installieren, das alle Vorgaben der DSGVO angepasst an den Bedarf des Unternehmens erfüllt. Dabei kann der weiterhin vorgeschriebene betriebliche Datenschutzbeauftragte durch TÜV Rheinland gestellt oder der interne Beauftragte durch Beratung unterstützt werden.