EU-Datenschutz-Grundverordnung: Bußgelder und Sanktionen – Das kann auf Unternehmen zukommen

April 19, 2017
EU-Datenschutz-Grundverordnung: Bußgelder und Sanktionen – Das kann auf Unternehmen zukommen

Gastbeitrag von Heiko de Vries, Senior Business Solution Strategist, CEMEA bei VMware

In meinem jüngsten Blogbeitrag zur neuen EU-Datenschutz-Grundverordnung, die ab 25. Mai 2018 offiziell in Kraft treten wird, habe ich die wichtigsten daraus resultierenden Änderungen für Unternehmen erläutert. Kurz gesagt: Die neue EU-Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber definitiv eine Reihe von in der Praxis erheblichen Veränderungen auf, auf die ich nun genauer eingehen möchte. Besser gesagt auf die vorgesehenen Bußgelder und Sanktionen, die mit der Nichteinhaltung der neuen Vorgaben einhergehen können.

Datenschutz im Zeitalter von Big Data und Digitalisierung

Die EU-Datenschutzgrundverordnung (DSGVO) bringt den Datenschutz zurück auf die Vorstandsagenda! Warum? Ganz einfach: Sanktionen und Bußgelder in Millionenhöhe sensibilisieren auch das Top-Management. Wir sprechen hier von bis zu 20 Millionen Euro bzw. – wenn höher – 4 % des globalen Jahresumsatzes des Vorjahres des betroffenen Unternehmen! Bislang waren Bußgelder in solchen Höhen absolute Ausnahmen in der aufsichtsbehördlichen Praxis. Diese nun zwingend vorgeschriebenen hohen Geldbußen sollen bewusst abschrecken und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Und vielleicht sogar noch schwerwiegender: Durch die sich daraus neu ergebende Offenlegungspflicht der Verstöße, führt eine Nichteinhaltung der neuen datenschutzrechtlichen Anforderungen neben den Bußgeldern und Sanktionen auch zu einem Vertrauensverlust bei Kunden und Mitarbeitern. Zudem sind individuelle Schmerzensgeld- und Schadensersatzforderungen der betroffenen Personen gegenüber den beteiligten Verantwortlichen möglich.

Es gibt – ähnlich wie beim neuen IT-Sicherheitsgesetz, das vor circa einem Jahr in Kraft getreten ist – Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten: Unternehmen müssen demnach innerhalb von 72 Stunden derartige Vorkommnisse an die Datenschutzaufsichtsbehörden, welche primär für die Kontrolle und Durchsetzung des Datenschutzrecht zuständig sind, melden. Außerdem sind die von dem Vorfall betroffenen Personen unverzüglich persönlich zu informieren.

Meine persönlichen Praxisempfehlungen

Die Regelungen zu Datenschutzordnungswidrigkeiten und -strafen sowie zum Schadensersatz entwickeln das europäische Datenschutzrecht fort, ohne es dabei vollkommen zu revolutionieren. Wie bisher auch können Datenschutzaufsichtsbehörden Datenschutzverstöße mit Bußgeldern sanktionieren. Für Unternehmen entscheidend ist dabei die drastische Erhöhung des Bußgeldrahmens auf 20 Millionen Euro und bei hohen Vorjahresumsätzen auch darüber hinaus. Diese Neuerung sollten Organisationen bei ihrer Compliance- und Risikomanagement-Strategie berücksichtigen und in gute Datenschutz-Compliance investieren. Weiter empfiehlt es sich, die Datenbestände, Datenflüsse und Datenverarbeitungsprozesse stets sorgfältig zu dokumentieren. Meiner Meinung nach sollte die Übergangsphases bis zur verbindlichen Anwendung der DSGVO auch als Chance verstanden werden: Neben der effektiven Verankerung des Datenschutzes im Unternehmen und der Vermeidung von hohen Bußgeldern und Sanktionen ergibt sich Möglichkeit, das Unternehmen als vorbildlichen Datenschützer darzustellen und damit zusätzliches Vertrauen bei Kunden wie Mitarbeitern zu gewinnen.

Verpassen Sie keinen Beitrag zu diesem und weiteren spannenden Themen rund um Digitalisierung, IoT & Co. und folgen Sie VMware Deutschland auf Twitter.


 
Related Posts
 

Die EU DSGVO wirft ihre Schatten voraus: Obwohl das neue Datenschutzrecht erst ab 25. Mai 2018 offiziell in Kraft tritt, raten Experten schon heute zu wohl geplanten, langfristig angelegten Veränderungsmaßnahmen im Unternehmen. Welche neuen Aufgaben muss ein Datenschutzbeauftragter erfüllen – und welche Rolle nimmt er im Falle eines Notfalls wie einer Cyberattacke ein?

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware

Wenn ich …

Read More

 
 
Blog Archive