DSGVO: Neue Pflichten gegenüber der Aufsichtsbehörde

Die kommende Datenschutz-Grundverordnung (DSGVO) sieht eine enge Kooperation von Unternehmen und Aufsichtsbehörden vor. Andernfalls drohen Bußgelder.

Seit 25. Mai 2016 tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Nach einer Übergangszeit...

von zwei Jahren – und damit ab dem 25. Mai 2018 – wird die Datenschutz-Grundverordnung in der gesamten Europäischen Union unmittelbar gelten und insbesondere das Bundesdatenschutzgesetz (BDSG) ablösen. Wie die Aufsichtsbehörden für den Datenschutz betonen, sollten auch die Unternehmen in Deutschland jetzt die „Ärmel hochkrempeln und mit der Umsetzung starten“.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern meint dazu: „Der Übergangszeitraum von zwei Jahren ist äußerst knapp bemessen. Die Unternehmen müssen unverzüglich beginnen, ihre Prozesse zum Umgang mit personenbezogenen Daten zu analysieren, um sie rechtzeitig an die Erfordernisse der Europäischen Datenschutz-Grundverordnung anpassen zu können.“ (siehe auch EU-Datenschutz-Grundverordnung– Checklisten müssen überarbeitet werden).

Noch ist nicht alles genau geklärt, wie es im Datenschutz in der EU weitergeht, auch wenn die Datenschutz-Grundverordnung nun endlich steht. Grund für die noch offenen Fragen sind die sogenannten Öffnungsklauseln, die den Nationalstaaten Spielraum lassen. „Mit der Anwendung der Europäischen Datenschutz-Grundverordnung bleiben weiterhin zahlreiche datenschutzrechtliche Fragen offen. An einer Optimierung der Verordnung und des damit einhergehenden nationalen Rechtes muss auch zukünftig konsequent im Sinne des Rechtes auf informationelle Selbstbestimmung gearbeitet werden“, so Reinhard Dankert, gegenwärtiger Vorsitzende der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.

Eines ist aber schon jetzt klar: Sowohl auf die Unternehmen als auch auf die Aufsichtsbehörden kommen zahlreiche neue Aufgaben zu. Unternehmen, die diese Aufgaben nicht wahrnehmen, können mit hohen Bußgeldern belegt werden.

Neuregelungen für Aufsichtsbehörden betreffen auch die Unternehmen

Viele Unternehmen müssen nun auch mit einem Umdenkprozess beginnen. Bisher dachte so manches Unternehmen, dass man hoffentlich nie etwas mit der zuständigen Aufsichtsbehörde für den Datenschutz zu tun haben werde. Hier gibt es gleich zwei Änderungen: Zum einen gibt es eine Neuregelung, welche Aufsichtsbehörde zuständig ist, den sogenannten „One-Stop-Shop-Mechanismus“: Für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, wird bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde an ihrem Hauptsitz zuständig sein.

Unternehmen müssen stärker mit den Aufsichtsbehörden zusammenarbeiten. Dies ist eine Unterstützung und Herausforderung zugleich, denn die Behörden beraten nicht nur, sie kontrollieren auch.

Auch die Zuständigkeiten und Möglichkeiten der Aufsichtsbehörden werden sich ändern, mit klarer Auswirkung auf die Unternehmen in ihrem Zuständigkeitsbereich. Beispiele sind:

  • datenschutzrechtliche Beratung und Kontrolle von Unternehmen nunmehr unter Beachtung des erweiterten räumlichen Anwendungsbereichs der Verordnung (Marktortprinzip), betroffen sind also alle Unternehmen, die ein Angebot an einen bestimmten nationalen Markt in der EU richten;
  • verpflichtende Beratung von Unternehmen bei der Datenschutz-Folgenabschätzung, insbesondere im Rahmen der vorherigen Konsultation der Aufsichtsbehörde, sowie Beratung bei der Umsetzung neuer Anforderungen wie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy By Design, Privacy By Default);
  • Erarbeitung von Stellungnahmen und Billigung von branchenspezifischen Verhaltensregeln zur ordnungsgemäßen Anwendung der Verordnung, Erarbeitung von Zertifizierungskriterien, ggf. Durchführung von Zertifizierungen, Erarbeitung von Kriterien für die Akkreditierung von Zertifizierungsstellen, ggf. Durchführung der Akkreditierung.

Unternehmen und Aufsichtsbehörden müssen stärker kooperieren

Bereits aus den genannten Beispielen für die Aufgaben der Aufsichtsbehörden nach DSGVO wird deutlich, dass Unternehmen wesentlich stärker mit den Aufsichtsbehörden zusammenarbeiten müssen. Dies ist eine Unterstützung und Herausforderung zugleich, denn die Aufsichtsbehörden beraten nicht nur, sie kontrollieren auch. Aufgaben von Unternehmen in Verbindung mit den Aufsichtsbehörden für den Datenschutz sind dann insbesonders:

  • vorherige Konsultation der Aufsichtsbehörde bei Datenschutz-Folgenabschätzung;
  • Kooperation mit der Aufsicht bei der Umsetzung neuer Anforderungen wie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen;
  • Abstimmung von branchenspezifischen Verhaltensregeln zur ordnungsgemäßen Datenverarbeitung nach DSGVO oder die Prüfung, ob es bereits passende Verhaltensregeln für das geplante Verfahren der Datenverarbeitung in dem Verzeichnis der Aufsichtsbehörde gibt;
  • Prüfung, ob ein bestimmtes Datenschutz-Zertifikat oder eine Zertifizierungsstelle auch wirklich von der Aufsichtsbehörde anerkannt und dort gelistet ist;
  • sowie weitere, bereits bestehende Pflichten gegenüber der Aufsichtsbehörde.

Die Aufsichtsbehörden für den Datenschutz haben bereits erklärt, dass die EU-Datenschutz-Grundverordnung zusätzliche Ressourcen für Datenschutzbehörden erfordert. Unternehmen sollten sich deshalb bewusst machen, dass auch auf ihrer Seite zusätzlicher Aufwand im Bereich Datenschutz zu bewältigen sein wird.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close