Ab Mai 2018 gilt EU-weit eine neue, einheitliche Datenschutz-Grundverordnung (DSGVO). Unternehmen sollten sich rechtzeitig darauf vorbereiten. Wir erklären Ihnen, was sich alles ändert.
Die neue Verordnung wird die bisherige EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen. Bis dahin müssen die deutschen Gesetzgeber in Bund und Ländern das nationale Recht allerdings noch an einigen Stellen anpassen oder bereinigen. Grundsätzlich schreibe die neue DSGVO die bewährten Prinzipien eines grundrechtsorientierten Datenschutzrechts fort und behalte die Struktur des geltenden Datenschutzrechts bei, kommentiert die Bundesbeauftragte für den Datenschutz Andrea Voßhoff. Ihre Behörde hat dazu auch eine neue Informationsbroschüre veröffentlicht.
Marktortprinzip verpflichtet auch außereuropäische Unternehmen
Die neue Grundverordnung enthält demnach auch verschiedene Elemente, die den Datenschutz modernisieren sollen. Besonders wichtig ist hier das so genannte Marktortprinzip. Dieses schreibt vor, dass alle auch außereuropäischen Unternehmen dann europäisches Datenschutzrecht einhalten müssen, wenn sie ihre Dienstleistungen auf dem europäischen Markt anbieten. Weitere Neuerungen sind die Prinzipien Privacy by Design und Privacy by Default, die Einführung von Datenschutz-Folgenabschätzungen, die Unterrichtung von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße (“Meldepflicht”) sowie eine Regelung zur Begrenzung der Profilbildung. Wer sich noch eingehender mit dem Thema DSGVO beschäftigen möchte, findet bei Brighttalk gegen Registrierung ein 40-minütiges Webinar von Symantec zum Thema.
Bei Verstößen drohen höhere Strafen
Verstoßen Unternehmen gegen das künftige EU-weite Datenschutzrecht, dann drohen ihnen empfindliche Geldbußen von bis zu vier Prozent ihres Jahresumsatzes. Juristen raten Unternehmen daher, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen. “Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen”, sagt Reemt Matthiesen von der Wirtschaftskanzlei CMS Hasche Sigle. Der Rechtsanwalt sieht allerdings auch erfreuliche Aspekte der Reform: “Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden.”
Datenschutz und Compliance bei Retarus
Das Global Delivery Network von Retarus erfüllt strengste Anforderungen an Datenschutz und Datensicherheit (nachweislich unter anderem Bundesdatenschutzgesetz, EU Directive 95/46/EC, ISAE 3402, HIPAA und PCI-DSS ). Statt aber jede mögliche Zertifizierung durchzuführen, setzt Retarus auf ein strenges internes Kontrollsystem. Dieses wird laufend von einer renommierten Wirtschaftsprüfungsgesellschaft auditiert. Bei Bedarf ermöglichen wir gerne auch Ihren Auditoren persönlich Zugang zu unseren Rechenzentren und Einblick in die relevanten Prozesse.