EU-Datenschutzgrundverordnung

DSGVO zwingt Unternehmen jetzt zum Handeln

von - 03.07.2017
Countdown zur EU-Datenschutzgrundverordnung
Foto: shutterstock.com/Kb-photodesign; Ket4up
In weniger als elf Monaten tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Höchste Zeit für Digitalunternehmen, sich mit den kommenden Änderungen auseinanderzusetzen. Denn sonst kann es teuer werden.
Eigentlich ist das Spiel bekannt: Im Bestreben, wichtige Rechtsgebiete im Spannungsfeld zwischen Wirtschaft und Verbraucher zu harmonisieren, ersinnt die EU-Kommission in Brüssel ein Gesetz. Dieses durchläuft zahllose Beratungsschleifen und wird schließlich vom EU-Parlament verabschiedet. Danach bekommen die 28 Mitgliedstaaten eine Frist gesetzt, innerhalb derer sie diesen Beschluss in nationales Recht überführen müssen. Erst dann müssen sich Unternehmen in den einzelnen Ländern wirklich darum kümmern.

Keine Übergangsfrist 

Bei der EU-Datenschutz-Grundverordnung läuft es anders. Die DSGVO ist kein Gesetz, sie ist eine Verordnung. Deshalb muss sie auch nicht in nationale Gesetze gegossen werden, sie tritt einfach in Kraft, und zwar am Freitag, den 25. Mai 2018, fünf Tage nach Pfingsten. Eine Übergangsfrist ist nicht vorgesehen.
Für Unternehmen, die digitale Daten verarbeiten oder verarbeiten lassen, tickt deshalb die Uhr: Wer bis zu diesem Datum seine Prozesse nicht in Einklang mit der DSGVO gebracht hat, könnte Ärger bekommen, und zwar sofort: Verstöße gegen den Datenschutz gelten in Deutschland als Wettbewerbsverstoß, und Abmahner wittern jetzt schon das große Geschäft. Deshalb ist proaktives Handeln jetzt wichtig.

Das soll die DSGVO erreichen

Die DSGVO soll nicht weniger als den Datenschutz EU-weit harmonisieren. Dennoch enthält die Verordnung eine Reihe sogenannter Öffnungsklauseln, die einzelnen EU-Staaten die Anpassung an ihre nationalen Gegebenheiten erlauben. Sie können auch eigene, neue Datenschutzgesetze erlassen, solange sie der DSGVO nicht zuwiderlaufen. Exakt das hat Deutschland vor. Am 27. April 2017 hat der Bundestag den Regierungsentwurf eines neuen Bundesdatenschutzgesetzes angenommen. Das BDSG-neu, wie es ­unter Juristen griffig abgekürzt wurde, hat im Mai 2017 den Bundesrat passiert und wird am 25. Mai 2018 in Kraft treten - am selben Tag wie die EU-DSGVO.
Das neue Datenschutzgesetz ist erheblich umfangreicher als sein Vorgänger, es umfasst  statt bisher 48 künftig 85 Paragrafen. Es enthält für Unternehmen Erleichterungen, etwa bei der Video-Überwachung von öffentlich zugänglichen Räumen, aber auch Verschärfungen, etwa im Bereich der Verarbeitung personenbezogener Daten. 

Lage noch unklar

Nach Ansicht von Anwälten wie Sabine Heukrodt-Bauer ist der Gesetzgeber bei der Umsetzung der EU-Vorgabe in nationales Recht an vielen Stellen über das Ziel hinausgeschossen, viele Regelungen seien nicht mehr von den Öffnungsklauseln gedeckt. "Es ist davon auszugehen, dass sich die Gerichte mit den Regelungen zu befassen haben", prognostiziert die Juristin von der Kanzlei Res Media aus Mainz: "Dabei wird gegebenenfalls die ­eine oder andere Regelung des BDSG-neu wieder kippen."
Für Unternehmen bedeutet das dennoch keine Entwarnung. Sie sollten sich jetzt schon auf die umfangreichen Neuregelungen einstellen und möglichst bald mit deren Umsetzung und der Überprüfung der eigenen Prozesse beginnen.