Der Anwendungsbereich der DSGVO ist weit gefasst, so dass viele Mitgliedsunternehmen der Kammer betroffen sein können. Neben einer Ausweitung der Rechte der von der Datenerhebung betroffenen Personen (z.B. umfassenderer Auskunftsanspruch, ein Recht auf „Vergessenwerden“ sowie auf Einschränkung der Verarbeitung sowie eine Beschränkung von automatisierten Entscheidungen) legt die DSGVO den datenverarbeitenden Unternehmen weitergehende Pflichten auf.
Beweislastverteilung zu Lasten der Unternehmen
Wichtigste Änderungen sind u.a. die deutlich ausgeweiteten Informations- und Dokumentationspflichten sowie eine wesentliche Verschärfung der Sanktionen. Ein datenverarbeitendes Unternehmen ist zukünftig verpflichtet, die Einhaltung der Grundprinzipien der DSGVO (z.B. Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit) nachzuweisen. Dieses wird zu einer Beweislastverteilung zu Lasten der Unternehmen führen. Des Weiteren ist im Rahmen einer „Datenschutz-Folgeabschätzung“ eine aktive Bewertung der Wahrscheinlichkeit und Schwere eines Risikos für die persönlichen Rechte und Freiheiten der betroffenen Personen vorzunehmen.
Unternehmen können Bußgelder von bis zu 20 Mio. Euro drohen
Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen werden ausgeweitet, ebenso wie die Anforderungen, auch in technischer Hinsicht einen wirksamen Datenschutz sicherzustellen. Ein Verstoß gegen die Grundprinzipien und Pflichten der DSGVO kann zukünftig mit drastischen Bußgeldern von bis zu 20 Mio. EUR oder bis zu 4 % des globalen, konzernweiten Vorjahresumsatzes sanktioniert werden. Daneben werden auch die Möglichkeiten für Schadensersatz ausgeweitet und ein Verbandsklagerecht eingeführt.
Wegen den weitreichenden Konsequenzen einer Nichtbeachtung empfiehlt es sich daher, rechtzeitig gewappnet zu sein.