Die neue EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft treten wird, vereinheitlicht die Datenschutzgesetze aller EU-Mitgliedsstaaten. Die Grundverordnung findet unmittelbare Anwendung, weshalb ein nationaler Umsetzungsakt entbehrlich ist. Den nationalen Gesetzgebern stehen aber in bestimmten Bereichen Spielräume zur Verfügung, die sie mit eigenem Recht füllen können, solange dadurch das Schutzniveau der DSGVO nicht unterschritten wird. Im April 2017 hat der Bundestag nun das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUGEU, auch „BDSG-neu“ genannt) verabschiedet.
DSGVO schwer überschaubar
Die neue Rechtslage stellt Unternehmen vor große Herausforderungen. Während einerseits viele datenschutzrechtliche Grundgedanken im Kern erhalten bleiben, ist die DSGVO mit Ihren 99 Artikeln und 173 Erwägungsgründen im Vergleich zur bisherigen Rechtslage schwer greifbar und unüberschaubar. Hinzu tritt das deutsche Gesetz, welches bereits im Vorfeld viel Kritik einstecken musste – zu umfangreich habe der deutsche Gesetzgeber von seinem Umsetzungsspielraum Gebrauch gemacht.
Auswirkungen auch im NPO-Sektor
Auch für NPOs wird sich viel ändern: Derzeit bestehende, bislang verhältnismäßig problemlos handhabbare Vorschriften bei der Spendenwerbung entfallen. Der sog. „risikobasierte Ansatz“ der DSGVO stellt NPOs zusätzlich vor große Probleme, weil nach Erwägungsgrund 47 bei der rechtlichen Einschätzung der Zulässigkeit von Werbung auf die „berechtigten Erwartungen“ des jeweiligen Betroffenen abzustellen ist. Diese Wertungsfrage alleine stellt Rechtsanwender vor immense Unsicherheiten. Hinzu treten eine Vielzahl von Transparenz- und Informationspflichten. Besonders ins Gewicht fällt dabei, dass nun Mitglieder, Beschäftigte und Spender deutlich umfassender als bisher über die Verarbeitung Ihrer personenbezogenen Daten und die Möglichkeiten zur Ausübung Ihrer Rechte informiert werden müssen.
Gravierend werden sich außerdem die internen Organisationspflichten auswirken, die durch Art. 5 DSGVO geschaffen werden. Selbst kleine Vereine müssen danach nicht nur die neuen Pflichten einhalten, sondern dies auch umfassend dokumentieren. Im Kern müssen damit Datenschutzmanagementsysteme geschaffen werden. Seitens der IT sind insb. spezielle IT-Sicherheitsanforderungen einzuhalten. Daneben ergeben sich eine Vielzahl weiterer Bereiche, in denen nunmehr schnelles Handeln gefragt ist.
Die Zeit drängt
Bis Mai 2018 sollten Organisationen und Unternehmen alle internen Prozesse zur Implementierung des neuen Datenschutzrechts angepasst haben. Es gibt keine(!) gesetzliche Übergangsfrist. Verstöße gegen einschlägige Vorschriften werden mit empfindlichen Strafen belegt, die Bußgelder werden drastisch erhöht.
Weiterlesen:
Hohe Bußgelder im deutschen Datenschutzrecht
Erstellung eines Datenschutzkonzepts für Ihr Unternehmen
Tags: DSGVO