Wer kontrolliert Unternehmen bei der Einhaltung der DSGVO ?
Gemäß Art. 39 Abs.1 lit. b DSGVO gehört die Überwachung der Einhaltung der DSGVO sowie anderer datenschutzrechtlicher Vorschriften zu den Kernaufgaben eines DSB. Letzterer hat im Falle eines Verstoßes gegen die DSGVO das Unternehmen zu unterrichten, so dass dieses seiner Verantwortung Rechnung tragen kann und die Einhaltung der relevanten Vorschriften sicherstellt.
Ferner werden Unternehmen hinsichtlich der Einhaltung der DSGVO-Regelungen von den zuständigen Aufsichtsbehörden kontrolliert (§ 40 BDSG-neu). Im Falle eines Verstoßes drohen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.
Unternehmen und die Einhaltung der DSGVO: Was gibt es zu beachten?
Seit dem Inkrafttreten der DSGVO stehen Unternehmen vor der Herausforderung, die neuen datenschutzrechtlichen Vorgaben in ihre Geschäftsprozesse zu implementieren.
Die Einhaltung dieser Änderungen liegt nämlich in der Verantwortung der Unternehmen, genauer gesagt der Geschäftsleitung selbst. Zu beachten ist, dass sich diese Verantwortung nicht auf den Datenschutzbeauftragten (DSB) übertragen lässt.
Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, ist eine schrittweise, systematische Herangehensweise notwendig. Hierzu gehört nicht nur ein gut strukturiertes Datenschutz-Managementsystem, sondern bspw. auch entsprechende Sensibilisierung sowie regelmäßige Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.
Mit Einführung der sog. „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) muss der Verantwortliche auch jederzeit in der Lage sein, die Einhaltung der datenschutzrechtlichen Regelungen nachzuweisen. Dies führt zu weitrechenden Dokumentationspflichten des Unternehmens.
Zu den wichtigsten Änderungen für Unternehmen gehören:
- neue Voraussetzungen für die Benennung eines DSB (Art. 37 DSGVO, ergänzt durch § 38 BDSG-neu),
- Pflicht des Verantwortlichen (nicht mehr des DSB) zur Führung eines Verzeichnisses über alle Verarbeitungstätigkeiten (Art. 30 DSGVO),
- Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch den Verantwortlichen (nicht mehr durch den DSB),
- Erweiterung der Betroffenenrechte in Art. 12-23 DSGVO, z.B. um das Recht auf Datenübertragbarkeit,
- neue Vorgaben hinsichtlich der Auftragsverarbeitung (Art. 28 und 29 DSGVO), bspw. im Hinblick auf Einsatz von Subunternehmern sowie
- Pflicht zur Einführung von Privacy by Design (Art. 25 Abs. 1 DSGVO) und Privacy by Default (Art. 25 Abs. 2 DSGVO).