Die EU-Datenschutz-Grundverordnung kommt – Neue Pflichten für Ihr Unternehmen

Neuigkeiten


Die EU-Datenschutz-Grundverordnung (kurz: DSGVO) wird zum 25. Mai 2018 ohne Überganszeitraum in Kraft treten und unmittelbar Wirkung – auch in Deutschland – entfalten. Doch welche Konsequenzen ergeben sich aus der DSGVO für Unternehmen, Behörden und Verbraucher? Dies ist der erste Artikel unserer Reihe zur DSGVO und soll einen ersten Überblick über die datenschutzrechtlichen Neuerungen geben. In weiteren Artikeln werden einzelne Aspekte (z.B. Werbung und Marketing) – teilweise branchenspezifisch – behandelt werden.

Durch die DSGVO wird es zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes kommen. Dies geschieht, da die DSGVO – anders als ihre „Vorgängerin“, die EU-Datenschutzrichtlinie – in der gesamten EU unmittelbar Anwendung findet. Die bislang bestehenden (teils erheblichen) nationalen Unterschiede wird es in Zukunft nicht mehr geben. Geringe Unterschiede sind gleichwohl aufgrund sog. „Öffnungsklauseln“ zu erwarten. Öffnungsklauseln bieten nationalen Gesetzgebern die Möglichkeit, eigene nationale Regelungen zu erlassen.

Wen betrifft die DSGVO?

Die DSGVO enthält zahlreiche Regelungen, um die Rechte der Bürger über die Nutzung ihrer persönlichen Daten zu stärken. Sie richtet sich vornehmlich an Behörden und Unternehmen. Dabei macht sie keinen Unterschied zwischen Weltkonzernen, wie Google, Facebook und Co. und kleinen bzw. mittelständischen Unternehmen (KMU). KMU müssen die Regelungen der DSGVO also ebenso umsetzen, wie „große“ Unternehmen. Bei genauerem Hinsehen ist das auch zweckmäßig, da bereits Unternehmen mit wenigen Mitarbeitern über Daten von Millionen Kunden/Nutzern verfügen können. So hatte beispielsweise der Fotodienst Instagram vor der Übernahme durch Facebook lediglich 13 Mitarbeiter, die Nutzerdaten, Profile und Bilder von Millionen Nutzern verwalteten.

Die DSGVO betrifft also nicht nur Weltkonzerne sondern eben auch so unterschiedliche Branchen wie online und Versandhandel, Telekommunikation, Personaldienstleister, Arztpraxen, Umfrageagenturen, Sicherheitsfirmen, Anwalts- und Steuerkanzleien und viele mehr. Insbesondere Anbieter von IT-Diensten bzw. IT-Produkten sowie Online-Dienstleister sind von der DSGVO besonders stark betroffen.

Neue Pflichten für Unternehmen

Die EU-Datenschutz-Grundverordnung statuiert eine Reihe neuer Pflichten für Unternehmen im Bereich des Datenschutzes. Für Unternehmen kommen unter anderem folgende neue Aufgaben hinzu:

1. Pflicht zur Datenschutz-Folgeabschätzung (Art. 35 DSGVO)

Bei der Datenschutz-Folgenabschätzung (engl. Data Privacy Impact Assessment (DPIA) oder Privacy Impact Assessment (PIA) genannt) handelt es sich – ähnlich wie bei der bisherigen „Vorabkontrolle“ – um eine Risikoanalyse im Vorfeld der Verarbeitung personenbezogener Daten – ist jedoch umfassender als die bekannte Vorabkontrolle. Die Datenschutz-Folgeabschätzung betrifft Datenverarbeitungen, die ein hohes Risiko für Freiheitsrechte von Personen (z.B. Kunden, Nutzer, Mitarbeiter etc.) zur Folge haben, insbesondere beim Einsatz neuer Technologien aufgrund des Umfangs der Datenverarbeitung. Folglich sind Unternehmen nunmehr verpflichtet, ihre Prozesse systematisch zu erfassen und auf Risiken für Rechte betroffener Personen zu überprüfen.

Im Rahmen der  Datenschutz-Folgeabschätzung  sollten zumindest folgende Punkte enthalten:

  • eine systematische Beschreibung der geplanten Prozesse und deren Absicht (Zwecke) inkl. der verfolgten Interessen,
  • eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit,
  • eine Bewertung der Risiken für die Rechte und Freiheiten Betroffener
  • Maßnahmen, die zur Risikominimierung geplant sind.

Aufgrund dieser offenen Formulierung empfiehlt sich eine Umfassende Analyse geplanter (und bestehender) Datenverarbeitungsprozesse durchzuführen und diese zu dokumentieren.

Ergibt die Datenschutz-Folgenabschätzung, dass eine (geplante) Art der Datenverarbeitung mit einem besonders hohen, nicht zu begrenzendem Risiko verbunden ist, wird eine Vorabkonsultation mit der Aufsichtsbehörde erforderlich.

2. Meldepflicht für Datenschutzverletzungen binnen 72 h (Art. 33 DSGVO)

Bereits nach bisher geltendem Recht mussten „Datenpannen“ der zuständigen Aufsichtsbehörde gemeldet werden. Die Regelung in der DSGVO relativiert die bisherigen Meldepflichten dahingehend, dass lediglich eine Dokumentation – aber keine Meldung – erfolgen muss, wenn die Datenschutzverletzung “voraussichtlich nicht zu einem Risiko” für den Betroffenen führt.

Neu ist jedoch, dass eine relevante Datenschutzverletzung innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden muss. Gerade im Hinblick auf Wochenende und Feiertage stellt diese kurze Frist Unternehmen vor eine nicht zu unterschätzende organisatorische Herausforderung.

Wie bereits erwähnt müssen Unternehmen jegliche Datenschutzverstöße akribisch dokumentieren. Angesichts des Umstands, dass Datenschutzverstöße (z.B. PC wird bei Verlassen des Arbeitsplatzes nicht gesperrt; eine E-Mail wird an den falschen Empfänger versendet etc.) bei vielen Unternehmen an der Tagesordnung sind, bedeutet dies ebenfalls einen zusätzlichen Organisationsaufwand.

3. Erweiterte Dokumentations- und Nachweispflichten

Die DSGVO enthält zahlreiche (neue) Dokumentations- sowie Nachweispflichten (sogenannte „Accountability“) für Unternehmen (=Verantwortliche und Auftragsverarbeiter) und Behörden. So schreibt beispielsweise Art. 5 Abs. 2 DSGVO  vor, dass der für die Verarbeitung Verantwortliche nachweisen können muss, dass er die in Art. 5 Abs. 1 DSGVO geregelten Datenschutzgrundsätze einhält. Ferner muss der für die Verarbeitung Verantwortliche nachweisen können, dass er personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet (vgl. Art. 24 Abs. 1 DSGVO).

Dokumentationspflichten sind an zahlreichen Stellen in der DSGVO ausdrücklich geregelt und beinhalten:

  • Dokumentierte Weisungen; Dokumentierte Weisung für Verarbeitung im Drittland (Art. 26 Abs. 2 (a))
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 28)
  • Dokumentation aller Verletzungen des Schutzes personenbezogener Daten (Art. 31)
  • Dokumentation von Abwägungen und Garantien bei Drittlandübermittlungen (Art. 44 Abs. 5)

Drittlandsübermittlungen können bereits bei der Nutzung von Social-Media-Angeboten, Nutzung von Webhostinganbietern oder Programmierdienstleistungen gegeben sein.

Darüber hinaus bestehen gegenüber den zuständigen Behörden (und teilweise gegenüber dem Betroffenen selbst) diverse Nachweispflichten, z.B.

  • Nachweis der Einhaltung der Verarbeitungsprinzipien (Art 5 Abs. 2)
  • Nachweis der Einwilligung (Art 7)
  • Nachweis der Unbegründetheit des Antrags (Art. 12)
  • Nachweis für die Erforderlichkeit der Verarbeitung (Art. 19)
  • Nachweis für die rechtmäßige Verarbeitung (Art. 22)
  • Nachweis im Rahmen der Kontrolle (Art. 26)
  • Nachweis zur Einhaltung der DSGVO (Art. 33)

Insbesondere die Regelungen in den Art. 33 verlangt vom Verantwortlichen, dass seine internen Strukturen so organisiert, dass er die Einhaltung der DSGVO jederzeit umfassend belegen kann.  Eine ständige Auseinandersetzung mit den rechtlichen Anforderungen, die teilweise noch durch Behörden und Gerichte konkretisiert werden müssen, den eigenen Prozessen und der Möglichkeit ihrer Dokumentation dürften die Folge sein.

4. Speicherbegrenzung / Recht auf Vergessenwerden

Entsprechend der DSGVO dürfen Daten nur so lange gespeichert werden, wie es für den betreffenden Zweck erforderlich ist. Auch hier bedarf es einer Genauen Analyse der Arten und des Zwecks der erhobenen Daten und der entsprechenden Implementierung von Prozessen, die eine Speicherbegrenzung sicherstellen. So bedarf es z.B. keiner langfristigen Speicherung von Bewerbungsunterlagen bzw. Bewerberdaten. Anders sieht es sicherlich bei steuerrelevanten Daten (Rechnungsunterlagen etc.) aus. Aus der Art der Daten ergeben sich demnach die entsprechenden Speicherzeiten. Unternehmen müssen dies erkennen, Daten kategorisieren, zuordnen und rechtzeitig löschen. Über diese Prozesse ist ein entsprechender Nachweis zu führen.

Insbesondere die in Art. 21 Abs. 1 DSGVO geregelte Möglichkeit für den Betroffenen Widerspruch gegen die Verarbeitung seiner/ihrer personenbezogenen Daten einzulegen dürfte Unternehmen, die automatisierte Verarbeitungsprozesse (z.B. Lohnbuchhaltung etc.) nutzen vor erhebliche Herausforderungen stellen.

5. Erfordernis eines Datenschutz-Management-Systems

Um die umfangreichen Anforderungen aus der DSGVO zu erfüllen, sollen Unternehmen (Verantwortliche) über dahingehende Tätigkeiten, Maßnahmen und Prozessen detailliert dokumentieren. Insbesondere die regelmäßige Folgenabschätzung, die Kontrolle der Verfahren im Unternehmen und die Durchführung einer regelmäßigen Datenschutz-Risikoanalyse sind hier von höchster Relevanz. Ohne ein funktionierendes Datenschutz-Management-System sollte die Einhaltung der Vorgaben der DSGVO für Unternehmen schwierig bis unmöglich sein.

Insgesamt erfordert die Umsetzung der DSGVO eine intensive Analyse mit anschließender einheitlicher und effektiver Konzeption und Umsetzung von technischen und organisatorischen Maßnahmen. In Zukunft müssen die aufgesetzten Prozesse und Lösungen weitergepflegt und regelmäßig anpasst werden. Insbesondere für Unternehmen, die mit personenbezogenen Daten außerhalb des üblichen Umfangs von Personalabteilungen arbeiten, dürfte die Einhaltung der Vorgaben der DSGVO eine Daueraufgabe sein, sodass entsprechende Ressourcen bereitgestellt werden müssen.

Erhöhung des Strafmaßes für Verstöße

Anders als bisher, drohen bei Verstößen gegen die vorgenannten Pflichten nach der DSGVO erhebliche Strafen für Unternehmen. Das mögliche Strafmaß beträgt für Unternehmen bis zu 20 Millionen Euro oder 4% der weltweiten jährlichen Umsatzerlöse (je nachdem was höher ist). Die Strafe kann von jeder nationalen Datenschutzbehörde innerhalb der EU verhängt werden. Angesichts des Umstands, dass hohe Strafen bei Datenschutzverstößen in anderen EU-Ländern regelmäßig verhängt werden, darf vor dem Hintergrund der in Zukunft zunehmenden Kooperation nationaler Datenschutzbehörden wohl auch in Deutschland mit der Verhängung höherer Strafen gerechnet werden.

Ferner können die nationalen Aufsichtsbehörden eine vorübergehende oder endgültige Einstellung der Datenverarbeitung von personenbezogenen Daten im verstoßenden Unternehmen anordnen. In dringenden Fällen können Datenschutzbehörden sogar einstweilige Maßnahmen für bis zu 3 Monaten erlassen und so ganze Unternehmen oder zumindest Teile davon lahm legen.

Allein die im Raum stehenden Strafen sollten für Unternehmen ein gutes Argument dafür sein, das Thema Datenschutz in Zukunft noch ernster zu nehmen.

Bestellung eines Datenschutzbeauftragten

Für einige Unternehmen – nämlich solche, die personenbezogene Daten in großem Umfang verarbeiten (z.B. regelmäßiges und systematisches Monitoring oder Verarbeitung sensibler personenbezogener Daten, wie Gesundheitsdaten, genetische Daten etc.) – besteht bereits nach der DSGVO die Pflicht zur Bestellung eines Datenschutzbeauftragten. Deutschland wird im Rahmen einer entsprechenden Öffnungsklausel an der bisherigen gesetzlichen Regelung festhalten. Eine entsprechende Regelung ist im neuen Bundesdatenschutzgesetz (dort § 38 BDSG) enthalten. So besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten, sofern in einem Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies ist – vereinfacht gesagt – regelmäßig dann der Fall, wenn 10 Mitarbeiter über einen PC-Arbeitsplatz verfügen (bzw. Zugang dazu haben) und Zugriff auf Kundendaten, IP-Adressen oder E-Mails haben.

Auch wenn keine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, empfiehlt es sich einen Experten zum Thema Datenschutz hinzuzuziehen, da die o.g. Pflichten unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen und bis zum 25. Mai 2018 umgesetzt werden müssen. Die meisten KMU – ohne einen Datenschutzbeauftragten – dürften damit jedoch allein überfordert sein.

 

Lesen Sie im nächsten Artikel: To-Dos für die Übergangsfrist bis zur Geltung der DSGVO


zurück zur Auswahl