Neue Datenschutzverordnung EU-DSGVO
Handeln gefordert
Die EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten ablöst, droht mit drastischen Strafen. Die Umsetzung erfordert viel Vorarbeit und Sorgfalt.
Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der DSGVO verfolgte. Doch die erwünschte EU-weite Vereinheitlichung des Datenschutzrechts wurde nicht in allen Punkten konsequent umgesetzt. Denn die neue EU-DSGVO beinhaltet rund 60 sogenannte "Öffnungsklauseln", die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen. Diese Möglichkeit hat Deutschland genutzt: Das DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) wird pünktlich zum 25. Mai 2018 - also dem EU-DSGVO-Stichtag - in Kraft treten und das bisherige Bundesdatenschutzgesetz durch ein vollständig reformiertes "BDSG 2018" ersetzen.
Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die EU-DSGVO über weite Strecken eins zu eins umsetzen. Die Vorteile eines klaren Bekenntnisses zur EU-DSGVO liegen auf der Hand: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutzansatz. Letztlich entscheidet der Einzelfall, inwieweit eine Nutzung von Ausnahmetatbeständen im BDSG 2018 unternehmerisch sinnvoll ist. Dies gilt sowohl für Konzerne als auch für KMU.
Unternehmen sollten zunächst alle relevanten Stakeholder über die wichtigsten Aspekte der DSGVO ausreichend informieren. Ansonsten wird ein Projekt dieser Größenordnung nicht erfolgreich zu bewältigen sein. Danach folgt die Gap-Analyse. Diese umfasst zunächst die Dokumentation des Ist-Zustands: Wie haben wir den Datenschutz bisher gehandhabt? Ist das Verfahrensverzeichnis aktuell? Welche Richtlinien zu Datenschutz und Datensicherheit liegen vor?
Dann ist der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich zu bestimmen. Dafür ist es erforderlich, ein möglichst differenziertes Verständnis der neuen gesetzlichen Anforderungen zu besitzen. Die weiter unten aufgeführten Kernpunkte der EU-DSGVO vermitteln einen Eindruck vom Aufwand, der mit ihrer Umsetzung in einem relativ kurzen Zeitfenster verbunden ist. Eine sinnvolle Vorgehensweise ist es, in einer Gap-Analyse die Findings risikobasiert zu priorisieren. Bestimmte Gaps sollte man nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angehen.
Wer das Know-how nicht im Hause oder mit personellen Engpässen zu kämpfen hat, ist beim Aufsetzen oder der Weiterentwicklung seines Datenschutz-Management-Systems mit externer Unterstützung gut beraten. Die Consultants sollten die EU-DSGVO nicht allein durch die juristische Brille betrachten, sondern über Erfahrung in der Umsetzung von Management-Systemen und über ein umfassendes Verständnis der IT-Security-Zusammenhänge verfügen. Das Unternehmen wiederum sollte einen Projektverantwortlichen benennen, der den externen Berater bei der Implementierung unterstützt.
Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat.
Kernpunkte der EU-DSGVO
Accountability-Ansatz: Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Ansonsten drohen Bußgelder und möglicherweise Schadensersatzpflichten gegenüber Betroffenen. Mit der Einführung eines Datenschutz-Management-Systems ist die Nachweispflicht professionell zu meistern, Haftungsrisiken lassen sich von Beginn an vermeiden.
Verschärfte Bußgelder: Im Gegensatz zur bisherigen Rechtslage ist für die große Mehrheit der Vorschriften in der EU-DSGVO, die Pflichten für datenverarbeitende Stellen begründen, die Möglichkeit einer Geldbuße vorgesehen. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens gegenüber dem bisherigen Maximalbetrag von 300.000 Euro: Bei Verstößen sind nun Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes möglich. Gehört das sanktionierte Unternehmen zu einer Unternehmensgruppe oder einem Konzern, ist der Jahresumsatz der gesamten Unternehmensgruppe oder des gesamten Konzerns maßgeblich. Um Bußgeldrisiken möglichst zu minimieren, sollten Unternehmen in der EU-DSGVO den Katalog von Kriterien beachten, die die Bußgeldverhängung und -bemessung beeinflussen, darunter frühere Verstöße, getroffene technisch-organisatorische Maßnahmen, Zusammenarbeit mit den Aufsichtsbehörden und eine Datenschutz-Zertifizierung.
Datenschutz-Folgenabschätzung: Das bisherige Instrument der "Vorabkontrolle" weicht dem Konzept der Datenschutz-Folgenabschätzung (DSFA). Hier gilt: Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen. Entgegen der Auffassung einiger Juristen ist die DSFA nicht nur für neue Verarbeitungsvorgänge relevant. Datenverarbeitenden Stellen wird daher geraten, eine Folgenabschätzung auch für bestehende Verarbeitungen durchzuführen, sofern ein "hohes Risiko" besteht.
Privacy by Design und Privacy by Default: Datenschutz muss integraler Bestandteil der Entwicklung von Produkten, Diensten oder Anwendungen sein. Maximaler Datenschutz muss "serienmäßig" sein und nicht mehr die Option, die der Betroffene aktiv anwählen muss. Wichtig ist, dass insbesondere die "Privacy by Design"-Anforderungen die verantwortlichen Stellen treffen und nicht die Hersteller von Produkten, Diensten und Anwendungen. Die frühzeitige Berücksichtigung der Anforderungen vermeidet in jedem Fall spätere Abweichungen von den gesetzlichen Vorgaben und verringert somit Haftungs- und Bußgeldrisiken.
Löschpflichten: Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, müssen Unternehmen zukünftig weitere Maßnahmen ergreifen. Im Rahmen des neuen "Rechts auf Vergessenwerden" sind Dritte, die veröffentlichte Daten verarbeiten, zu identifizieren und sodann über das Löschbegehren zu informieren. Allen Unternehmen, die regelmäßig personenbezogene Daten öffentlich machen, ist zu empfehlen, die aktuellen Entwicklungen zum "Recht auf Vergessenwerden" aufmerksam zu verfolgen.
Technische und organisatorische Maßnahmen (TOMs): Schwachstellen bei der technisch-organisatorischen Datensicherheit sind in der EU-DSGVO bußgeldbewehrt, und zwar mit bis zu zwei Prozent des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Zudem müssen die TOMs dem "Stand der Technik" entsprechen und damit stärker als bisher technischen Innovationen Rechnung tragen. Nützliche Best-Practice-Hinweise gibt die TOM-Liste nach IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Datenportabilität: Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben und auf Wunsch direkt an ein anderes Unternehmen übermitteln können. Die genaue Reichweite des Rechts auf Datenportabilität (Stichwort: interoperable Formate) lässt sich noch nicht abschließend bewerten. Klar ist allerdings schon jetzt, dass es nicht nur für große Internetkonzerne, sondern auch für mittelständische Unternehmen von hoher Relevanz ist.
Datenschutzbeauftragter: Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Zudem können künftig auch solche Unternehmen betroffen sein, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Die erweiterte Bestellpflicht kann beispielsweise ärztliche Gemeinschaftspraxen oder mit genetischen Analysen befasste Labore treffen, auch wenn diese unter der Zehn-Personen-Grenze liegen und daher bisher keinen Datenschutzbeauftragten benennen mussten.
Zertifizierung: Die EU-DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Dieses dient dem Nachweis, dass das Unternehmen die Bestimmungen der EU-DSGVO vollumfänglich einhält. Eine entsprechende Zertifizierung wird zukünftig eine wichtige Rolle spielen, auch bei der Entscheidung über das Ob und die Höhe von Bußgeldern.
Lesen Sie mehr zum Thema
