Compliance-rechtliche Relevanz der EU-Datenschutz-Grundverordnung

veröffentlicht am 23. Juni 2017

Das EU-Parlament hat bereits am 14. April 2016 die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Sie trat am 24. Mai 2016 in Kraft und gilt ab dem 25. Mai2018. Die DSGVO bringt zahlreiche Anforderungen für Unternehmen mit sich. Die neuen Vorgaben berühren insbesondere die Arbeit der Compliance-Funktion in erheblicher Weise.

Der Regelungsbereich der DSGVO betrifft nicht nur Unternehmen innerhalb der EU, sondern auch Unternehmen, die außerhalb der EU ansässig sind. Die DSGVO wird das Datenschutzrecht in der EU mit Blick auf Datensicherheit sowie Verarbeitung – v.a. Speicherung und Verantwortung bzw. Rechenschaftspflicht – vereinheitlichen. Dafür müssen Unternehmen künftig genau dokumentieren und darüber informieren, wie und wo personenbezogene Daten weitergegeben und gespeichert werden. Dazu zählt auch, wie Organisationen den Zugriff auf diese Informationen überwachen und kontrollieren.

Bei Verstößen gegen die Regelungen der DSGVO drohen dem Verantwortlichen Bußgelder in Höhe von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 Prozent des globalen Vorjahresumsatzes, je nachdem welcher Betrag höher ist.

Bei unzulässigen Datenverarbeitungen können hiervon betroffene Personen zusätzlich Schadensersatz für materielle und immaterielle Schäden verlangen. Zudem sieht das neue Datenschutzrecht bei Verstößen gegen die DSGVO auch ein Verbandsklagerecht vor.

Laut einer Ende 2016 veröffentlichten Umfrage von „Veritas Technologies” hat sich zu diesem Zeitpunkt noch weniger als die Hälfte der Organisationen und Unternehmen mit der künftig geltenden Datenschutz-Grundverordnung auseinandergesetzt. Demnach haben sich 54 Prozent noch nicht damit befasst, eine DSGVO-Compliance bereitzustellen.

Es hat jedoch keinen Sinn, diese Welle der DSGVO auf sich zurollen zu lassen, den Kopf in den Sand zu stecken und abzuwarten.

Gerade aufgrund der ab 2018 drohenden hohen Bußgelder wird der Datenschutz in Zukunft einen ähnlich gewichtigen Anteil für das Risikomanagement und für die Compliance-Abteilungen haben wie Verstöße gegen Kartell-, Korruptions- oder Steuerrecht.

Die gesetzlichen Vorschriften zum Datenschutz werden künftig bei der Ausgestaltung von Compliance-Management-Systemen eine deutlich zentralere Rolle als bislang einnehmen, zumal zu erwarten ist, dass die Aufsichtsbehörden strenger als bisher kontrollieren und sanktionieren werden. Die rechtlichen Anforderungen werden deutlich komplexer und umfassender. Darauf sollte man vorbereitet sein.

Unternehmen müssen Betroffene von der Verarbeitung ihrer personenbezogenen Daten umfassender und genauer als bisher über die Erhebung und Verwendung der Daten informieren und Auskunft erteilen, Art. 12 bis Art. 15 DSGVO.
Es schreibt umfassende Regelungen zur Verantwortlichkeit beim Umgang mit Daten vor. Unternehmen müssen dokumentieren, wie und mit welchen Mitteln sie die Vorgaben der DSGVO einhalten, um das gegenüber den Aufsichtsbehörden nachweisen zu können.
Unternehmen haben viele Verfahrensregeln einzuführen: Datenübertragbarkeit, Privacy by Design and by Default, Datenschutz-Folgenabschätzungen, das Recht auf Vergessen werden, erhöhte Informations- und Transparenzpflichten – damit sind nur einige neuen Anforderungen genannt.

Wenn man die Vielzahl der beschlossenen Änderungen in Betracht zieht, wird die verbleibende Zeit sehr knapp, um die neuen Anforderungen umzusetzen. Da sich mögliche Risiken bei Compliance-Verstößen aus dem Bereich Datenschutz durch die DSGVO vervielfältigen, müssen die Compliance-Verantwortlichen das im Rahmen entsprechender Gefährdungsanalysen berücksichtigen. Es ist augenscheinlich: Der Datenschutz erhält dadurch einen völlig neuen Stellenwert.