Die EU hat die Datenschutz-Grundverordnung bereits am 24. Mai 2016 verabschiedet und den Mitgliedsstaaten zwei Jahre Zeit eingeräumt, die Verordnung in nationales Recht umzusetzen. Noch ist ein gutes Jahr Zeit, um die Vorgaben der Europäischen Union umzusetzen. Die Bundesregierung hat inzwischen einen Entwurf zur Umsetzung der Datenschutz-Grundverordnung präsentiert. Auf ungeteilte Zustimmung stößt er allerdings nicht. Kritiker bemängeln die geplanten Einschränkungen der Rechte der Betroffenen bei Verletzungen des Datenschutzes. Teilweise falle der Entwurf sogar hinter bestehendes deutsches Recht zurück und könnte dennoch nicht den Vorgaben der EU entsprechen.
Hohe Bußgelder bei Verstößen
Bei dieser Unsicherheit ist es auch für die Unternehmen schwierig, sich auf die Umsetzung der Datenschutz-Grundverordnung einzustellen. Dabei hat dies für sie größte Bedeutung. Denn wer künftig gegen die Verordnung verstößt, muss mit empfindlichen Bußgeldern rechnen. Die straffreie zweijährige Übergangsfrist endet am 25. Mai 2018. Dann sind Bußgelder in Höhe von bis zu vier Prozent des globalen Umsatzes und bis maximal 20 Millionen Euro möglich.
Für alle Unternehmen, die personenbezogene Daten erfassen und verwalten, bedeutet die Umsetzung der europäischen Verordnung eine Herausforderung. Neben strukturellen Umstellungen müssen vor allem auch rechtliche Aspekte berücksichtigt werden. Arbeitgeber haben zukünftig z.B. umfassende Informationspflichten gegenüber ihren Mitarbeitern bezüglich der Verwendung der erhobenen Arbeitnehmerdaten. Außerdem bestehen weitreichende Dokumentationspflichten und im Streitfall liegt die Beweislast bei den Unternehmen. Bestehende Betriebsvereinbarungen müssen an die Datenschutz-Grundverordnung angepasst werden und dürfen nicht hinter den Anforderungen zurückbleiben. Für die meisten Unternehmen wird es erforderlich sein, ein Datenschutz-System oder Compliance-System einzurichten, da Verstöße gegen die Verordnung extrem teuer werden können.
Löschung der Daten und öffentliches Interesse
Betroffen sind auch etliche Startups, die gerade im Internet unzählige personenbezogene Daten erfassen und verwalten. Betroffene haben auf der einen Seite das „Recht auf Vergessen“, also auf Löschung ihrer Daten, auf der anderen Seite kann dieser Anspruch auch hinter öffentlichen Interessen oder „allgemein anerkannten Geschäftszwecken“ zurückstehen.
Noch haben die betroffenen Unternehmen etwa ein Jahr Zeit, die Vorgaben der Datenschutz-Verordnung umzusetzen. Doch die Uhr tickt schon jetzt.
Die bundesweit tätige Wirtschaftskanzlei ROSE & PARTNER LLP. mit Standorten in Hamburg, Berlin und München hat weitere Informationen zur Datenschutz-Grundverordnung unter http://www.rosepartner.de/... zusammengefasst.
Dr. Bernd Fleischer
Rechtsanwalt
Fachanwalt für Gewerblichen Rechtsschutz