Datenschutz rangiert bei vielen kleinen und mittleren Unternehmen selten am obersten Ende der Beliebtheitsskala der zu erledigenden Arbeiten.
Er wird häufig als lästiges Übel angesehen, das es irgendwie zu umgehen gilt.
Mit der Anwendbarkeit der EU Datenschutzgrundverordnung (DS-GVO) ist der Datenschutz nun in aller Munde, wittern zahlreiche Berater doch Morgenluft und schüren Ängste, um möglichst viel Umsatz zu machen. Verantwortliche kleinerer und mittlerer Unternehmen sowie von Verein geraten in Panik und geben in viel Aktionismus für unnötige Beschaffungen in Hard- und Software Geld aus.
Ja, es ändert sich einiges: Der Datenschutz soll europaweit vereinheitlicht werden, Bußgelder steigen, Datenverarbeitung soll transparenter für die betroffenen Personen – also die Menschen, deren Daten verarbeitet werden – gemacht werden. Außerdem sollen die Organisationen, die die Datenverarbeiten, im neuen Datenschutzrecht „Verarbeiter“ genannt, regelmäßig nachweisen, dass sie die Regelungen zum Datenschutz einhalten. Die Anforderungen an die Dokumentation steigen.
Aber wer bislang schon gut im Datenschutz aufgestellt war, hat wenig zu befürchten. Hier gilt es einfach, die Änderungen gegenüber der bisherigen Gesetzgebung herauszuarbeiten und entsprechend nachjustieren.
Alle anderen müssen noch viele Hausausaufgaben erledigen, die bis zum 25. Mai 2018 wohl nicht mehr fertig werden. Hier gilt es Ruhe zu bewahren, sich einen Überblick über die Aufgaben zu verschaffen und einen guten Plan zu machen.
Dieser Ratgeber soll dem Leser aufzeigen, wo er steht und was noch zu tun ist. Dazu wurde ein kleiner Fragenkatalog mit typischen Fragen erstellt.
Um diesen Ratgeber übersichtlich zu halten, wurden die Antworten auf die Fragen teilweise nicht komplett ausformuliert, sondern in Stichpunkten wie in einer Präsentation notiert.
Sie fliegen auf, wenn sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind und dies bislang noch nicht getan haben. Künftig müssen alle Organisationen den Namen ihres Datenschutzbeauftragten an die zuständige Datenschutzaufsichtsbehörde melden. Diese kann nun mit Abgleich gegen Handels-, Gewerbe-, Vereins- und ähnlichen Registern prüfen, ob alle gemeldet haben.
Die Bußgelder bei Datenschutzverletzungen werden höher, denn die Strafen sollen abschreckend sein.
Schadensersatz an die Betroffenen war bisher zur Abschreckung gegen Datenschutzverstöße ein sehr stumpfes Schwert: Ein materieller Schaden bei einem Datenschutzverstoß war häufig nicht vorhanden oder schwer nachzuweisen, außerdem war die Höhe auf 130.000 Euro begrenzt. Künftig gibt es Schadensersatz auch für immaterielle Schäden in unbegrenzter Höhe.
Hinzu kommt das Klagerecht der Verbände: Nicht mehr der Einzelne muss sich einen in Datenschutzdingen kompetenten Anwalt suchen und gegen den Verursacher vorgehen, sondern künftig kann er sich von Verbänden wie der Verbraucherzentrale, Gewerkschaften u.a. vertreten lassen: [vgl. Artikel 80 DS-GVO] eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatzgemäß Artikel 82 in Anspruch zu nehmen…