apsec Tipps & Tricks zur neuen Datenschutzgrundverordnung

Neue Datenschutzgrundverordnung

Applied Security GmbH

Großwallstadt, 25.04.2017

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die den Datenschutz für die EU-Mitgliedsstaaten regelt.

Sie hebt die ursprüngliche Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr auf. Während bis dahin der Mindeststandard des Datenschutzes in den EU-Mitgliedsstaaten durch nationale Gesetze sichergestellt werden muss (in Deutschland durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze im Mai 2001 vollzogen), soll dies dann prinzipiell EU-weit geregelt werden.

Allerdings gibt es auch in der EU-DSGVO weiterhin eine Öffnungsklausel für nationale Ausnahmeregelungen und darauf basierend bereits einen deutschen Gesetzesentwurf zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680. Dieses Gesetz wird auch Datenschutzanpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) genannt.

Ein Kernstück von DSAnpUG-EU ist nun der Entwurf eines neuen Bundesdatenschutzgesetzes (BDSG-E). Der letzte veröffentliche Stand des Entwurfes (vom 01.02.2017) beinhaltet 79 Paragraphen, die in 3 Teile untergliedert sind. Dabei richtet sich Teil 3 (§ 43 ff) nur an öffentliche Stellen des Bundes und kann von Unternehmen ausgeblendet werden.

Bestellpflicht eines Datenschutzbeauftragten

Nach Art. 37 EU-DSGVO gilt die Bestellpflicht eines Datenschutzbeauftragten (DSB) nur noch für Unternehmen, deren Kerngeschäft die Überwachung von und der Umgang mit personenbezogenen Daten ist. Somit verringert sich die Zahl der bisher nach § 4f BDSG zur Bestellung eines DSB verpflichteten Unternehmen erst einmal eklatant.

Aufgrund des § 38 BDSG-E scheint aber nun weiterhin die Bestellung eines DSB  für Unternehmen, bei denen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend.

Meldepflicht eines Datenschutzbeauftragten

Während in der Vergangenheit bei Bestellung eines DSB die Meldepflicht nach § 4d Abs. 2 BDSG entfallen durfte,  besteht durch die EU-DSGVO zukünftig eine geregelte, zentrale Meldepflicht nach Art. 37 Abs. 7.

Bußgeld bei Nichtbestellung eines Datenschutzbeauftragten

Das Versäumnis, einen Datenschutzbeauftragten zu bestellen, stellte bisher gemäß § 43 Abs. 1 Nr. 2 BDSG eine Ordnungswidrigkeit dar, die mit einem Bußgeld in Höhe von bis zu 50.000 Euro bestraft werden konnte und im Falle des Vorsatzes unter Umständen auch eine Straftat nach § 44 BDSG war.

Nach Art. 83 Abs. 4 Buchst. a des EU-DSGVO kann ab Inkrafttreten ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist.

 

Hinweis: Der Entwurf des neuen Bundesdatenschutzgesetzes muss noch von Bundestag und Bundesrat behandelt werden, wodurch es nochmals zu Änderungen kommen kann.



Neuer Kommentar