DSGVO – Was ist neu?

Mit der DSGVO wurden die Auflagen zum Datenschutz für Unternehmen verschärft.

Zu den wesentlichen Neuerungen gehörten die sogenannte Rechenschaftspflicht, wonach die Geschäftsleitung eines Unternehmens für die Einhaltung sämtlicher Vorgaben der DSGVO verantwortlich und nachweispflichtig ist (sog. „Accountability“). Dahinter verbirgt sich eine Umkehr der Beweislast – ein wirksames und dokumentiertes Datenschutz-Managementsystem muss bei Vorfällen und Überprüfungen nachgewiesen werden können.

Zudem erfordern die umfangreichen Informationspflichten bei der Datenerhebung, die Vorschriften zu den Betroffenenrechten (z. B. Recht auf Auskunft, Datenlöschung und Datenübertragbarkeit) und zum technischen Datenschutz (sog. „Privacy by Design“ und „Privacy by Default“) Anpassungen der bestehenden Prozesse.

Grundlegende Änderungen ergeben sich auch für sogenannte Auftragsverarbeiter (z. B. IT-Dienstleister).

Für besonders risikobehaftete Datenverarbeitungsvorgänge (z. B. Videoüberwachung) schreibt die DSGVO die Durchführung einer sogenannten Datenschutz-Folgenabschätzung vor. Hierbei soll das Unternehmen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken bewerten und unter Umständen auch die zuständige Aufsichtsbehörde konsultieren.

Sie werden für ihren Verantwortungsbereich zukünftig stärker in die Pflicht genommen, haben eigene Dokumentationspflichten und haften bei Datenschutzverletzungen unter Umständen auch direkt gegenüber den Betroffenen auf Schadensersatz. Schließlich sind Datenschutzverletzungen in nachvollziehbarer Weise zu dokumentieren und möglichst binnen 72 Stunden ab Kenntnis der zuständigen Datenschutz-Aufsichtsbehörde zu melden, ggf. auch den Betroffenen.