DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Neu­re­gelung des Daten­schutzes ver­ab­schiedet

Vier Jahre hat es gedauert: Mitte April hat das EU-Par­lament die lange dis­ku­tierte EU-Daten­­schutz-Grun­d­­ver­­­ordnung ver­ab­schiedet. Mit einem Hammer …

 

Im Januar 2012 hat die EU-Kom­­mission einen Vor­schlag für die Neu­re­gelung eines EU-weit gel­tenden Daten­schutz­rechts ver­öf­fent­licht. Kaum sind mehr als vier Jahre ver­gangen, hat das EU-Par­lament am 14.04.2016 die neue EU-Daten­­schutz-Grun­d­­ver­­­ordnung auch ver­ab­schiedet. Es bedarf nun noch der Ver­öf­fent­li­chung im Amts­blatt der EU, dann tritt sie 20 Tage später in Kraft. Ange­wendet wird die EU-Daten­­schutz-Grun­d­­ver­­­ordnung nach einer zwei­jäh­rigen Über­gangs­frist ab Mai/Juni 2018 und ersetzt dann das Bun­des­da­ten­schutz­gesetz. Auf Unter­nehmen werden einige Ände­rungen zukommen.

Die wesent­liche Änderung – ein Hammer für mit­tel­stän­dische Unter­nehmen

Aus meiner Sicht ist die für Unter­nehmen gra­vie­rendste Änderung die Anhebung der Buß­gelder bei Ver­stößen. Im Bun­des­da­ten­schutz­gesetz gab es bislang zwei Buß­geld­rahmen:

  1. Bei haupt­sächlich for­malen Ver­stößen, zum Bei­spiel kein Daten­schutz­be­auf­tragter bestellt, obwohl vor­ge­schrieben, konnte ein Bußgeld von bis zu EUR 50.000,- ver­hängt werden.
  2. Bei haupt­sächlich mate­ri­ellen Ver­stößen, zum Bei­spiel Daten unzu­lässig an Dritte über­mittelt, konnte ein Bußgeld von bis zu EUR 300.000,- ver­hängt werden.

Auch wenn diese Buß­geld­grenzen über­schritten werden konnten, wenn der wirt­schaft­liche Vorteil des Ver­stoßes größer war, blieb das Risiko eines Ver­stoßes für Unter­nehmen zwar teuer, aber über­schaubar. So wurde bislang bei­spiels­weise für einen nicht bestellten Daten­schutz­be­auf­tragten, wenn der Verstoß zum ersten Mal bekannt wurde, ein Bußgeld i.H.v. EUR 10.000,- fällig.


Die neue EU-Daten­­schutz-Grun­d­­ver­­­ordnung kennt eben­falls zwei Buß­geld­rahmen, aller­dings in ganz anderen Dimen­sionen:

  1. Bei Pflicht­ver­let­zungen kann ein Bußgeld von bis zu – jetzt halten Sie sich fest — EUR 10.000.000,- oder 2% des welt­weiten Jah­res­um­satzes, je nachdem welcher Betrag höher ist, ver­hängt werden.
  2. Bei anderen Ver­stößen, zum Bei­spiel Nicht­be­achtung der Rechte der betrof­fenen Per­sonen, kommt sogar ein Bußgeld i.H.v. bis zu EUR 20.000.000,- oder 4% des welt­weiten Jah­res­um­satzes, je nachdem welcher Betrag höher ist, in Betracht.

Auch wenn die Ziel­richtung dieser unglaublich hohen Buß­gelder klar sein dürfte (Groß­kon­zerne wie Google, Amazon, Facebook und Kon­sorten) trifft mit­tel­stän­dische Unter­nehmen die Gefahr, dass Ver­stöße am deutlich grö­ßeren Buß­geld­rahmen bewertet und damit deutlich mehr Geld kosten werden.

Weitere Ände­rungen

Natürlich gibt es noch eine Reihe wei­terer Ände­rungen, die im Alltag vor allem zu mehr Doku­men­tation führen werden, damit Unter­nehmen im Zweifel nach­weisen können, dass kein buß­geld­be­wehrter Verstoß vor­liegt. Ich werde bis zum Beginn der Anwendung der neuen EU-Daten­­schutz-Grun­d­­ver­­­ordnung im Mai/Juni 2018 an dieser Stelle nach und nach ein­zelne Themen auf­greifen. Auf­grund einer Vielzahl von soge­nannten natio­nalen Öff­nungs­klauseln steht derzeit noch nicht in allen Punkten fest, was sich in Deutschland ändert. Hier muss erst der deutsche Gesetz­geber tätig werden.

Möchten Sie sich heute schon über einige Detail­än­de­rungen, die auf Sie zukommen, infor­mieren, gibt es bereits inter­es­sante Artikel im Internet, z. B. hier

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.