Kontakt
Tomasz Pleśniak

Rechtsanwalt (Polen)
Senior Associate
Tel.: +48 71 60 60 413
E-Mail

Im Mai 2018 wird die EU-Verordnung in Kraft treten, welche den einheitlichen Schutz personenbezogener Daten in der ganzen Europäischen Union gewährleisten wird. In der Verordnung wurden mehrere revolutionäre Änderungen vorgesehen, auf die sich Unternehmer schon jetzt vorbereiten sollten. Bei Nichtbeachtung der neuen Pflichten drohen den Unternehmern schmerzhafte Finanzstrafen.

Erweiterung des Umfangs der Pflichten bei Unternehmern, die personenbezogene Daten verarbeiten.

Die neuen Vorschriften werden einen breiteren Kreis von Unternehmern als bisher betreffen – nämlich auch diejenigen, die ihre Dienstleistungen auf dem Gebiet der EU anbieten, jedoch den Sitz außerhalb der EU haben. Eine der wichtigsten Änderungen besteht in der Pflicht der Unternehmer, die Folgen der Verarbeitung für den Schutz personenbezogener Daten zu bewerten. In einigen Fällen ist die Verarbeitung zuvor mit dem Generalinspektor für Datenschutz (GIODO) abzustimmen. Eine große Gruppe von Unternehmern muss also den Schutz personenbezogener Daten schon bei der Planung der Erbringung einer konkreten Dienstleistung berücksichtigen.

Eine revolutionäre Änderung beim Schutz personenbezogener Daten ist auch die Pflicht, jeden Fall der Verletzung des Schutzes personenbezogener Daten binnen höchstens 72 Stunden, nachdem die Verletzung festgestellt wurde, dem Generalinspektor für Datenschutz zu melden. Mehr noch: Ein Unternehmer wird verpflichtet, sämtliche Verletzungen des Schutzes personenbezogener Daten, darunter deren Folgen und ergriffene Gegenmaßnahmen, zu dokumentieren. Zusätzlich gilt: Kann die Verletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, so hat der Unternehmer die betroffene Person darüber unverzüglich – unter Verwendung einer klaren, einfachen Sprache – zu benachrichtigen.

Vor dem Hintergrund des oben Gesagten lohnt es sich schon heute, ein Notfallverfahren auszuarbeiten, das bei einer solchen Verletzung angewandt werden kann.

Die Unternehmer werden nicht mehr verpflichtet sein, die personenbezogenen Datenbanken zu registrieren. Der polnische Gesetzgeber kann dieses Erfordernis eventuell aufgrund inländischer gesetzlicher Regelungen aufrechterhalten. In einigen Fällen werden Unternehmer hingegen verpflichtet sein, einen internen Datenschutzbeauftragten (d.h. eine für die Sicherheit der Datenverarbeitung im betreffenden Unternehmen zuständige Person – bei der jetzigen Rechtslage wird diese Funktion vom Datensicherheitsbeauftragten ausgeübt) zu bestellen und ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Wesentlich erschwert wurde auch die Informationspflicht gegenüber Dritten, deren Daten verarbeitet werden. Notwendig werden u.a. Angaben zu dem Datenschutzbeauftragten und der Rechtsgrundlage für die Verarbeitung bzw. Informationen über den Zeitraum der Aufbewahrung von Daten sein. Diese Änderung wird für die Unternehmer spürbar sein, da sie den Inhalt der angewandten Vordrucke zur Einholung der Zustimmung für die Verarbeitung personenbezogener Daten wesentlich erweitern müssen.

Daneben werden auch andere wesentliche Änderungen eingeführt. Es handelt sich dabei u.a. um die Erweiterung des Katalogs sensibler Daten (insbesondere um biometrische Daten), Einführung des Rechts auf Vergessenwerden sowie neue Regelungen über die Verarbeitung personenbezogener Daten von Kindern.

Gravierende Folgen bei Nichtbeachtung neuer Vorschriften

Für die Nichteinhaltung der neuen Pflichten drohen den Unternehmern schmerzhafte Finanzstrafen, die gemäß der Verordnung bis zu 20 Mio. EUR bzw. bis 4% des weltweiten Jahresumsatzes des Unternehmens betragen können, wobei der höhere Betrag anwendbar ist.

Die neuen Regelungen werden in den Mitgliedstaaten ab dem 25. Mai 2018 gelten. Somit droht den Unternehmern für jede ab diesem Tag begangene Verletzung eine strenge Finanzstrafe. Die Verordnung sieht keine Übergangsphase für das Testen neuer Lösungen vor, die ein entsprechendes Datenschutzniveau gewährleisten könnten. Die Frage des Schutzes personenbezogener Daten nimmt somit an Bedeutung zu, insbesondere im Hinblick auf die Strafen wegen Nichtbeachtung neuer Vorschriften.

Daher lohnt es sich, die internen Verfahren sowie die Dokumentation i.Z.m. der Datenverarbeitung im Unternehmen schnellstmöglich zu analysieren. Ein weiterer Schritt sollte in der Formulierung und Durchführung entsprechender Sanierungsmaßnahmen bestehen, so dass die Datenverarbeitung im Unternehmen an die neuen Anforderungen angepasst wird. Ferner lohnt es sich, schon heute u.a. die Begründetheit der Bestellung eines Datenschutzbeauftragten sowie die Erarbeitung eines Notfallplans bei Verletzung der Sicherheit personenbezogener Daten zu erwägen.

Sollten Sie an unserer rechtlichen Unterstützung bei der Analyse der gegenwärtigen Praxis in Ihren Unternehmen sowie der Dokumentation über den Datenschutz in Hinsicht auf deren Übereinstimmung mit den aktuell geltenden und künftigen Regelungen Interesse haben, so stehen wir Ihnen jederzeit gerne zur Verfügung. Unsere Rechtsanwälte bieten Rechtsberatung in Polen auch in anderen Bereichen an. Sie stehen Ihnen in den Büros von Rödl & Partner: Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau zur Verfügung. 

31.05.2017