Montag, Mai 21

Rechtstipp: Countdown zur Datenschutzgrundverordnung

Am 25. Mai 2018 endet die Übergangsfrist zur Umsetzung der europäischen Datenschutzgrundverordnung (DS-GVO). Kritische Pressestimmen deuten bereits an, dass gerade mittelständische Wirtschaft, Einzelhandel und Handwerk vom Regulierungsumfang der 99 Verordnungs-Artikel sowie den nachgeordneten Vorschriften des neuen Bundesdatenschutzgesetzes (BDSG) überfordert sind.

Dabei wurde die Verordnung bei Erlass auf die Bedürfnisse von kleinen und mittleren Unternehmen (KMU) angepasst. Dass sich dennoch kleinere Unternehmen, so auch Kfz-Betriebe, von den Anforderungen der neuen Datenschutzregeln regelrecht erschlagen fühlen, hat oftmals denselben Grund: Viele Pflichten der DS-GVO bestanden in Deutschland bereits vor Verabschiedung dieser EU-Verordnung, wurden aber bislang nicht umgesetzt. So musste auch in der Vergangenheit ein Datenschutzbeauftragter bestellt werden bei Unternehmen mit zehn oder mehr Personen, die sich mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Statt „Verzeichnissen von Verarbeitungstätigkeiten“ mussten „Verfahrensverzeichnisse“ geführt werden. Bei besonders sensiblen Verarbeitungsvorgängen, etwa Videoüberwachung, ersetzt nun die vorherige „Datenschutz-Folgenabschätzung“ die vorherige datenschutzrechtliche „Vorabkontrolle“.

Wird hier Altes als neu verkauft? 
Ist also die DS-GVO nur „alter Wein in neuen Schläuchen“ für Betriebe, die die bisherigen Vorgaben bereits in Teilen umgesetzt haben? Nicht ganz: Denn erweiterte Rechte von Betroffenen erfordern entsprechende Anpassungen von Prozessen im Autohaus. Datenschutzbestimmungen müssen überarbeitet werden. Externe Dienstleister als Auftragsverarbeiter müssen erneut unter die Lupe genommen werden, da nun auch sie einer Mithaftung unterliegen. Ein bestellter Datenschutzbeauftragter muss nach außen und gegenüber der zuständigen Datenschutzbehörde kommuniziert werden. Weitere Verschärfungen gibt es bei den technisch-organisatorischen Maßnahmen zur Datensicherheit beim verarbeitenden Betrieb und den Meldepflichten bei Datenpannen.

Beweislastumkehr ist wesentlich
Wesentlich ist, dass nun eine Beweislastumkehr zu Lasten der Unternehmen besteht, dass sie die Datenschutzregeln eingehalten haben. Dies – in Verbindung mit empfindlich höheren Bußgeldern – zwingt nun vor allem die Unternehmen, die bislang mit der Umsetzung der alten Datenschutzvorschriften im Rückstand waren, ihren Datenschutz von Grund auf für die Zukunft rechtskonform zu strukturieren und vor allem zu dokumentieren.

Georg Hilgers | Dr. Vogels Rechtsanwälte | Telefon: +49 221 979987-0 | www.dr-vogels.eu