Tim Wybitul, RA/FAArbR: Grundlegende Neuregelung des europäischen Datenschutzes: EU-Parlament beschließt Datenschutz-Grundverordnung!
Das EU-Parlament hat am 14. April 2016 die EU-Datenschutz-Grundverordnung (DSGVO) in zweiter Lesung verabschiedet. Die DSGVO bringt umfangreiche neue Anforderungen für Unternehmen. Sie tritt dann nach einer Übergangfrist von zwei Jahren im Mai 2018 in Kraft. Damit ist das bislang größte Reformvorhaben des EU-Datenschutzes nach einem über fünfjährigen Gesetzgebungsvorgang nun abgeschlossen. Die für die Praxis wichtigsten Änderungen finden Sie nachstehend knapp zusammengefasst.
Für wen gilt der neue Datenschutz?
Kurz gesagt, für alle. Sämtliche Unternehmen, die personenbezogene Daten verarbeiten, müssen die Vorgaben der DSGVO umsetzen, z.B. bei der Verarbeitung von Kunden- oder Mitarbeiterdaten. Das gilt beispielsweise für sämtliche Unternehmen, die Gerichtsverfahren führen, CRM- oder Personaldatensysteme vorhalten oder interne Ermittlungen durchführen.
Welche Änderungen sollten Sie kennen?
Zu den wichtigsten Neuerungen zählen Ansprüche auf immateriellen Schadensersatz mit einer Beweislast des Unternehmens, Bußgelder von bis zu vier Prozent des globalen Unternehmensumsatzes beziehungsweise bis zu 20 Millionen für betroffene Manager oder andere Entscheidungsträger. Weitgehend jede maßgebliche Vorgabe der DSGVO kann mit einem hohen Bußgeld sanktioniert werden. Das wirkt sich beispielsweise auch auf IT-Security und Cybersecurity aus. Fehler bei der Datensicherheit ziehen beispielsweise Bußgelder von bis zu zwei Prozent des globalen Umsatzes nach sich. Die Verordnung wird auch über die EU hinaus extraterritorial wirken. Hinzu kommen zudem noch umfassende Transparenz-, Informations- und Dokumentationspflichten (vgl. zum Überblick über die wichtigsten Änderungen und einen Ablaufplan für deren Implementierung im Unternehmen den Aufsatz von Wybitul demnächst in BB 18/2016).
Wie wirkt sich der neue EU-Datenschutz auf Compliance im Unternehmen aus?
Durch die ausgesprochen hohen Bußgelder wirkt sich die DSGVO massiv auf das Compliance-Management aus. Mögliche Fehler beim Datenschutz müssen wegen der hohen Bußgelder und möglichen Schadensersatzansprüche im Rahmen von Gefährdungsanalysen neu bewertet werden. Aber auch Compliance-Kontrollen und interne Ermittlungen werden durch die neuen Anforderungen und Sanktionen komplexer.
Datenschutz am Arbeitsplatz
Viele Regelungen der DSGVO betreffen den Arbeitnehmerdatenschutz. Beispielsweise wird es nicht leicht für Arbeitgeber, die neuen Anforderungen zur Transparenz bei der Datenverarbeitung auch im Rahmen des Beschäftigtendatenschutzes zu erfüllen. Auch bei Betriebsvereinbarungen gibt es teilweise erheblichen Änderungsbedarf.
Fazit
Die Änderungen durch die DSGVO sind erheblich, z.B. drohen Millionenbußgelder, eine verschärfte zivilrechtliche Haftung auch für immaterielle Schäden, Beweislastumkehr und Verbandsklagerecht, umfassende Pflichten bei der Unterrichtung über Datenverarbeitungen oder der Dokumentation von Datenschutzprozessen sowie weitgehende Meldepflichten bei Datenpannen.. Die Neuregelung betrifft jeden Unternehmensbereich, der personenbezogene Daten verarbeitet. Unternehmen müssen ihre IT-Strukturen und Geschäftsprozesse teilweise erheblich umstellen. Hierbei sind nicht nur die Bereiche Datenschutz und IT betroffen, sondern auch Personal, Recht, Revision und vor allem die operativen Unternehmensfunktionen, da gerade diese oft auf umfangreiche Datenverarbeitungen angewiesen sind. Neben einer professionellen Projektplanung ist es für die Umstellung auf das neue Datenschutzrecht entscheidend, die komplexen rechtlichen Anforderungen zu verstehen und in praktikable und wirksame Lösungen umzusetzen.
Tim Wybitul, RA/FAArbR, ist Partner im Frankfurter Büro von Hogan Lovells. Er berät Unternehmen bei Fragen zu Compliance, Arbeitsrecht, Datenschutz und internen Ermittlungen. Unter anderem leitete er ein Team von Anwälten, das ein global tätiges Finanzinstitut bei einer der größten US-Ermittlungen in Europa begleitete.