Am 25.5.2018 sind die neue EU-Datenschutzgrundverordnung und das novellierte Bundesdatenschutzgesetz in Kraft getreten.
Diese Regelungen sind zwar schon seit zwei Jahren beschlossene Sache, aber erst in den letzten Wochen vor Inkrafttreten wurde für viele klar, welche Auswirkungen das neue Recht hat. Die Besonderheit dabei ist, dass es sich bei der Datenschutzgrundverordnung (DSGVO) um unmittelbar geltendes EU-Recht handelt, auf das der bundesdeutsche Gesetzgeber nur bedingt Einfluss hat.
Grundanliegen der DSGVO ist vor allem eine stärker verbraucherorientierte Datenschutzregelung, insbesondere gegenüber den großen Unternehmen wie Facebook, Google und Amazon. So werden grundlegend neue Informations- und Abwehrrechte von Verbrauchern gegenüber Unternehmen begründet. Insbesondere besteht auch stärker als bisher für Verbraucher die Möglichkeit, Informationen über gespeicherte Daten zu erlangen oder auch gespeicherte und veröffentlichte Daten löschen zu lassen („Recht auf Vergessenwerden“).
Die Auswirkungen der DSGVO treffen aber auch viele Unternehmer und Vereine. So müssen Vereine und Unternehmen nunmehr ein sogenanntes Verarbeitungsverzeichnis erstellen und auf Verlangen der Behörden vorliegen. Dort müssen alle datenschutzrelevanten Vorgänge im Unternehmen oder im Verein dokumentiert werden. Unternehmen mit mehr als neun Mitarbeitern im Bereich der Verarbeitung sensibler Daten müssen einen Datenschutzbeauftragten bestellen. Dieser muss unabhängig sein und darf insofern auch nicht mit dem Inhaber identisch sein. Es besteht auch die Möglichkeit, geeignete externe Personen als Datenschutzbeauftragte zu bestellen. Der Datenschutzbeauftragte muss der Datenschutzbehörde gegenüber benannt werden. Unter Umständen müssen auch bereits kleinere Unternehmen einen Datenschutzbeauftragten benennen, wenn deren Kerngeschäft darin besteht, sensible Daten zu verarbeiten.
Auswirkungen hat dies auch auf die E-Mail-Kommunikation. Es steht inzwischen infrage, ob mit Kunden oder unternehmensintern überhaupt noch unverschlüsselt per E-Mail kommuniziert werden darf, wenn sensible Daten übertragen werden. Mit beauftragten Dritten muss eine datenschutzrelevante Auftragsbearbeitung vereinbart werden und auf der jeweiligen Webseite des Unternehmens oder Vereins müssen umfangreiche Datenschutzhinweise veröffentlicht werden.
Viele Unternehmen und Vereine sind darauf noch immer nicht vorbereitet. Dabei drohen erhebliche Bußgelder bis zu 20 Millionen € bzw. 4 % des Umsatzes. Es besteht also erheblicher Handlungsbedarf für Verantwortliche in Unternehmen und Vereinen!