Import -

Wenn die DSGVO uneingeschränkt gilt Was sich nach Ablauf der Übergangsfrist ändert

Nach Inkrafttreten der Datenschutz-Grundverordnung vor zwei Jahren findet jetzt auch die Übergangsfrist ein Ende. Für das Gesundheitswesen und dessen Dienstleister brachte dies eine Vielzahl an Herausforderungen mit sich, die auch jetzt noch nicht zufriedenstellend geklärt sind. Worauf man nun gefasst sein sollte.

Es ist aus und vorbei: Die EU-Datenschutz-Grundverordnung (DSGVO) greift in vollem Umfang, die Übergangsfrist ist abgelaufen. Bedeutet das nun eine erhöhte Sensibilität und endlich das von Datenschützern gewünschte einheitliche Datenschutzniveau? Oder ist es die klassische Angst vor Bußgeldern, die verkaufsorientierte Menschen und Unternehmen jetzt nutzen, um wirklich jedes Produkt unter der Flagge der Datenschutz-Grundverordnung zu verkaufen und die am Markt vorherrschende Unsicherheit auszunutzen? In letzterem Fall würde die grundlegende Idee des Datenschutzes auf der Strecke bleiben, die verbreitete Angst vor der DSGVO wäre gerechtfertigt.

Auch nach Ablauf der Übergangsphase, in der alle Maßnahmen zur Datenschutz-Grundverordnung umgesetzt sein müssen, gibt es viele Bereiche, die sich noch in der Praxis bewähren müssen und in Zukunft mit noch detaillierteren Empfehlungen einhergehen werden. An vielen Stellen sind sowohl die DSGVO wie auch das BDSG neu noch so unkonkret, dass hier Gesetze auf Landesebene angepasst werden. In dem einen oder anderen Fall wird es mit Sicherheit erst ein Gerichtsurteil geben müssen, um Klarheit zu schaffen. Auch den erweiterten Bußgeldkatalog gilt es zu berücksichtigen.

Die Macht von Geldbußen

Das Verhängen von Geldbußen ist eine von den behördlichen Maßnahmen. Nach Artikel 58 DSGVO verfügt die Aufsichtsbehörde über eine Vielzahl an Untersuchungsbefugnissen, Abhilfebefugnissen, Genehmigungsbefugnissen und beratenden Befugnissen. Demnach kann die Behörde z.B. vorsorgliche Warnungen aussprechen, wenn ein Unternehmen Datenverarbeitungen beabsichtigt, die voraussichtlich einen Verstoß gegen die Grundverordnung darstellen.

Nach dem Wortlaut der DSGVO gilt, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Dabei enthält der Artikel 83 Abs. 2 Seite 2 DSGVO eine Liste an Kriterien, die bei der Wahl der entsprechenden Geldbuße berücksichtigt werden sollen. Danach entscheiden Art, Schwere und Dauer des Verstoßes genauso über die Höhe der Buße, wie die Tatsache, welche Datenart verarbeitet und wie der Verstoß der Aufsichtsbehörde bekannt wurde. Entscheidend ist auch, welche Vorkehrungen das Unternehmen getroffen hat, um die Einhaltung der Anforderungen sicherzustellen. Zu beachten ist, dass sich die behördlichen Maßnahmen nicht nur gegen den Verantwortlichen selbst, sondern auch gegen Auftragsverarbeiter richten können (Datenschutzkonferenz, Kurzpapier Nr. 2 „Aufsichtsbefugnisse/Sanktionen“ vom 29. Juni 2017).

Wie lautet die Experteneinschätzung dazu? Prof. Dr. Thomas Jäschke gibt Antworten.

Unterbeiträge zu diesem Artikel
© hcm-magazin.de 2018 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen