Die seit Mai 2018 wirksame Datenschutzgrundverordnung (DSGVO) regelt das Datenschutzrecht zum ersten Mal einheitlich in ganz Europa und hat kürzlich den dritten Geburtstag gefeiert.
Die DSGVO besteht aus 99 Artikeln in elf Kapiteln und soll einerseits den Schutz personenbezogener Daten innerhalb der Europäischen Union sicherstellen und andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten. Neu ist hierbei, dass die DSGVO nicht nur für Unternehmen innerhalb der EU gilt, sondern auch für Unternehmen außerhalb der EU (z.B. aus den USA), die in der EU ihre Dienste anbieten und verkaufen.
Eins ist sicher: Die DSGVO und ihre grundsätzlichen Prinzipien werden uns erhalten bleiben und weiterhin zu den wichtigsten rechtlichen Bezugspunkten für die Datenverarbeitung und den allgemeinen Umgang mit Daten gehören.
Dies stellt Unternehmen auf jeden Fall vor Herausforderungen bei der Erfüllung komplexer, datenschutzrechtlicher Vorgaben in den verschiedensten Geschäftsbereichen. Dazu gehören die eigenen Prozesse („Verfahrensverzeichnis“, „Löschkonzepte“) oder die Beziehung mit Geschäftspartnern („Auftragsverarbeitungsvereinbarung“), die Einführung neuer Daten-/IT-tools („Datenschutzfolgeabschätzung“), die Gewährleistung der „Betroffenenrechte“, die Sicherstellung geeigneter „technischer und organisatorischer Maßnahmen“ (= TOMs), die laufende Ausbildung der Mitarbeiter im Datenschutz oder das Management von „Datenschutzverstößen“ gegenüber den Aufsichtsbehörden.
Dass dies nicht nur unternehmerische Nachteile mit sich bringen muss, zeigen zahlreiche Firmen aus dem Online-/Digitalbereich, die den Datenschutz als Chance sehen und als Unique Selling Proposition (USP), also als Al leinstellungsmerkmal im Geschäftsmodell nutzen und herausstellen.
DSGVO-Bußgelder nehmen zu
Auffällig und ein Novum im Datenschutzrecht sind die hohen und absichtlich abschreckenden Bußgelder, die laut Art. 83 Abs. 5 DSGVO pro Verstoß bis zu 4% des Jahresumsatzes bzw. bis zu 20 Mio. € betragen können.
Von diesen Möglichkeiten haben die Aufsichtsbehörden seit Mai 2018 auch regen Gebrauch gemacht. So wurden hierbei für Datenschutzverstöße in der EU und in den USA insgesamt über 5,5 Mrd. € an Bußgeldern verhängt und insgesamt über 1.400 Datenschutzverstöße geahndet. Im Durchschnitt also über 5 Mio. € pro Datenschutzverstoß. Hauptsächlich wurden dabei Verstöße gegen unerlaubte Werbung, Missachtung der Betroffenenrechte, mangelnde IT-Sicherheit, unerlaubte Datenverarbeitung, nicht durchgeführte Datenschutzfolgeabschätzungen und unzureichende TOMs geahndet.
Zu den Spitzenreitern gehören hierbei neben internationalen Konzernen wie Amazon, Facebook und Google auch deutsche Unternehmen unterschiedlicher Branchen:
(Quelle: https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php)
In Deutschland traf es neben H&M und notebooksbilliger.de auch prominente Namen wie 1&1 Telecom GmbH, den VfB Stuttgart 1893 AG, Sky Deutschland, Delivery Hero, Vodafone, mobilcom-debitel, die Universität Mainz, Vodafone, Mr. Wash und Facebook Germany.
DSGVO wird ernst genommen
Diese Entscheidungen und der enorme Anstieg von gemeldeten Datenpannen zeigen, dass immer mehr Bürger sich ihrer Datenschutzrechte bewusst sind und diese auch einfordern und Unternehmen andererseits den Datenschutz verstärkt ernster nehmen müssen.
mexxon unterstützt seine Kunden
Ein wichtiger Teil in unseren vielfältigen Kundenprojekten ist die strenge Einhaltung und konsequente Umsetzung der datenschutzrechtlichen Vorgaben und Normen.
Von der Beratung über Einzelfragen bis zur Implementierung eines ganzheitlichen Datenschutzmanagementsystems: Mit langjähriger Erfahrung, umfassendem Know-how und Best-Practice-Templates unterstützen wir unsere Kunden:
- Erstellung/Aktualisierung von Verfahrensverzeichnissen
- Datenschutzfolgeabschätzungen/PIA (Notwendigkeitsprüfung, Verfahrensverzeichnis, Prozessdarstellung, AVV, TOM, Löschkonzept), Risikobewertung, Dokumentationen, Bewertung
- Durchführung von Datenschutz-Audits
- Erstellung von Datenschutz-Policies
- Management von Betroffenenrechten und -anfragen
- Datenschutz-Schulungen
- Data-Breach-Prozesse
- AVV-/TOM-Prüfung
- Erstellung von Dokumentationen, Unterlagen, Informationssammlungen (auch zur Vorlage bei den Aufsichtsbehörden)