Das EU-Parlament hat im Oktober 2016 die EU-Datenschutz-Grundverordnung (DSGVO) verabschiedet. Diese tritt im Mai 2018 in Kraft und beinhaltet umfangreiche neue Anforderungen für Unternehmen.

Eine Bestellung von Datenschutzbeauftragten ist auch künftig zwingend gemäß der jeweiligen nationalen Regelungen zu gewährleisten. Zu den Aufgaben des Datenschutzbeauftragten zählen die Unterrichtung und Beratung des Unternehmens oder des jeweiligen Auftragsverarbeiters und der Beschäftigten beim Datenschutz, die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, Schulungen und Überprüfungen.

Die DSGVO statuiert zudem für Unternehmen deutlich erweiterte Nachweispflichten (sog. „accountability“). Art. 5 Abs. 2 DSGVO schreibt vor, dass der für die Verarbeitung Verantwortliche nachweisen können muss, dass er die in der DSGVO geregelten Datenschutzgrundsätze einhält.

Das im Rahmen der Verordnung verankerte Konzept der Datenschutz-Folgenabschätzung (Art. 35) bestimmt weitergehend, dass ein Unternehmen tätig werden muss, wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge hat. In diesem Fall muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen und dokumentieren. Hierbei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke, Ursachen möglicher Risiken bewerten. Dabei soll es auch Maßnahmen, Garantien und Verfahren prüfen, mit denen bestehende Risiken eingedämmt werden und die sonstigen Vorgaben der Verordnung eingehalten werden können.

Ebenso müssen Unternehmen künftig betroffene Personen deutlich umfassender als bislang und in einer nachvollziehbaren Weise darüber informieren, ob und wie sie deren Daten verarbeiten. Grundsätzlich muss das Unternehmen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten.

Eine weitere für Unternehmen wesentliche Änderung ist, das künftig Bußgelder von bis zu 4% des globalen Umsatzes verhängt werden können. Die Risiken für Unternehmen steigen auch im Hinblick auf zivilrechtliche Haftung wegen Datenschutzverstößen. Nach Art. 82 Abs. 1 DSGVO sind materielle und immaterielle Schäden zu erstatten, die auf Verstößen gegen die Verordnung beruhen.

Im Ergebnis ist das gesamte Datenschutzsystem in einem Unternehmen auf die neuen Bestimmungen umzustellen. Verträge mit Auftragsverarbeitern sind zu ergänzen und zu überarbeiten.