News + Aktuelles

aus dem Eventrecht
Gefährdungsanalyse künftig auch im Datenschutz

Gefährdungsanalyse künftig auch im Datenschutz

Von Thomas Waetke 19. April 2016

Die EU-Datenschutz-Grundverordnung ist erlassen worden. Die EU-Staaten haben nun zwei Jahre Zeit, nationale Vorschriften herauszubringen. Eine wesentliche Neuerung ist die sog. Datenschutz-Folgenabschätzung, die Unternehmen künftig in vielen Fällen werden durchführen müssen, die personenbezogene Daten verarbeiten, speichern oder erheben (siehe Art. 35 der VO).

Auch hier wird man u.a. Schutzziele identifizieren müssen, mögliche Angreifer und Angriffsziele sowie Risiken bewerten, um dann entsprechende Schutzmaßnahmen treffen zu können.

Dies kennt man bereits aus dem Arbeitsschutz, beim Sicherheitskonzept u.a.

Allerdings sieht im Gegensatz dazu die Datenschutz-Grundverordnung drastische Bußgelder vor, wenn eine solche Folgenabschätzung rechtswidrig unterlassen wurde (siehe Art. 35, nämlich Geldbußen bis zu 10.000 Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens (siehe Art. 83 Abs. 4 der VO) : Maßgeblich für die Geldbuße soll der von beiden Beträgen dann höhere Betrag sein. Für andere Verstöße gegen die Datenschutz-Grundverordnung kann es sogar Geldbußen bis 20 Mio Euro bzw. 4% des Jahresumsatzes geben.

Ich merke in der Beratung oft, dass das Thema Datenschutz noch sehr stiefmütterlich behandelt wird, oft genug Bedenken mit einem Lächeln abgetan werden: Daten spürt man ja nicht, ist ja alles nicht so schlimm, es gibt Wichtigeres. Nur: Auch das Datenschutzrecht ist eine Pflicht; und gerade weil Daten „unsichtbar“ sind, sind die Risiken auch unvorhersehbar, wenn Daten einmal entstanden irgendwo unkontrollierbar werden. Außerdem drohen hohe Bußgelder, und es häufen sich kostenpflichtige Abmahnungen.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Anonyme Person im Datennetz: © Bits and Splits - Fotolia.com