Die EU-Datenschutz-Grundverordnung kommt – was bedeutet das für Unternehmen?

Bis zu die­sem Zeit­punkt ha­ben Un­ter­neh­men noch Zeit, sich auf die neuen Be­stim­mun­gen ein­zu­stel­len. Da­ten­schutz­behörden dürfen erst da­nach Sank­tio­nen verhängen.

Ziele und Anwendungsbereich der DSGVO

Ziel der DS­GVO ist es, in der ge­sam­ten EU ein ein­heit­li­ches Da­ten­schutz­ni­veau zu schaf­fen. Bis­lang hatte je­der Mit­glieds­staat seine ei­ge­nen Da­ten­schutz­re­ge­lun­gen, die nur zum Teil auf EU-Recht be­ruh­ten. Die Di­gi­ta­li­sie­rung macht aber vor Lan­des­gren­zen nicht Halt, so dass die un­ter­schied­li­chen An­for­de­run­gen na­tio­na­ler Ge­setze für grenzüber­schrei­tend tätige Un­ter­neh­men ein Pro­blem dar­stel­len. Die DS­GVO soll die­sen Zu­stand be­he­ben und vor al­lem ein­heit­li­che Re­ge­lun­gen und Wett­be­werbs­be­din­gun­gen für die Da­ten­ver­ar­bei­tung gewähr­leis­ten. Die DS­GVO gilt für da­ten­ver­ar­bei­tende Stel­len mit Sitz in der EU, aber auch für sol­che ohne Sitz in der EU, die sich an be­trof­fene Per­so­nen in der EU rich­ten.

Die DS­GVO re­gelt den Schutz per­so­nen­be­zo­ge­ner Da­ten. Das sind sämt­li­che Da­ten, an­hand de­rer man eine natürli­che Per­son („be­trof­fene Per­son“) iden­ti­fi­zie­ren kann. Die DS­GVO rich­tet sich an öff­ent­li­che Stel­len wie auch an alle natürli­chen und ju­ris­ti­schen Per­so­nen („Ver­ant­wort­li­che“ und „Auf­trags­ver­ar­bei­ter“), die per­so­nen­be­zo­gene Da­ten ver­ar­bei­ten. „Ver­ar­bei­tung“ ist bei­spiels­weise das Er­he­ben, Er­fas­sen, die Or­ga­ni­sa­tion, Spei­che­rung, Verände­rung, Ver­wen­dung, Über­mitt­lung, und auch die Löschung von Da­ten – kurz ge­sagt: je­der Vor­gang, der per­so­nen­be­zo­gene Da­ten be­trifft. Je­des Un­ter­neh­men hat eine Viel­zahl sol­cher Da­ten: Ex­em­pla­ri­sch seien hier Mit­ar­bei­ter- und Kun­den­da­ten ge­nannt, aber auch Lie­fe­ran­ten und Ge­schäfts­kon­takte ent­hal­ten oft einen Per­so­nen­be­zug.

Neue Rechenschaftspflicht für datenverarbeitende Unternehmen

Die DS­GVO be­stimmt zahl­rei­che kon­krete Pflich­ten, die Un­ter­neh­men erfüllen müssen. Diese Auf­ga­ben und Ver­ant­wort­lich­kei­ten ent­spre­chen teil­weise den bis­he­ri­gen Re­ge­lun­gen des deut­schen Bun­des­da­ten­schutz­ge­set­zes, sind aber in wei­ten Tei­len an­ders bzw. neu.

Ver­ant­wort­li­che, also z. B. die Un­ter­neh­men, sind nun­mehr für die Ein­hal­tung die­ser Da­ten­schutz­vor­ga­ben re­chen­schafts­pflich­tig, müssen also de­ren Ein­hal­tung nach­wei­sen. Sie müssen zwin­gend ihre Pro­zesse so ein­rich­ten und do­ku­men­tie­ren, dass den Da­ten­schutz­behörden die da­ten­schutz­kon­forme Da­ten­ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Da­ten nach­ge­wie­sen wer­den kann.

Konkreter Handlungsbedarf

Der An­pas­sungs­be­darf muss bei je­dem Un­ter­neh­men in­di­vi­du­ell er­mit­telt wer­den. Je­doch soll­ten Un­ter­neh­men min­des­tens fol­gende The­men an­ge­hen:

• Verträge zur Auf­trags­ver­ar­bei­tung (mit Dienst­leis­tern) an­pas­sen bzw. ab­schließen,
• Ver­ar­bei­tungs­ver­zeich­nis an­pas­sen bzw. er­stel­len,
• Da­ten­schutz-Fol­ge­ab­schätzun­gen durchführen,
• tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnah­men an­pas­sen bzw. ein­rich­ten,
• In­for­ma­tio­nen für Be­trof­fene be­reit­stel­len bzw. an­pas­sen,
• in­terne Pro­zesse ein­rich­ten, um die Be­trof­fe­nen­rechte zu erfüllen,
• Da­ten­schutz­be­auf­trag­ten be­stel­len,
• in­terne Pro­zesse für Mel­dun­gen von Da­ten­schutz­verstößen ein­rich­ten,
• Da­ten­schutz­ma­nage­ment­sys­tem an­pas­sen bzw. ein­rich­ten,
• Mit­ar­bei­ter schu­len.

Als kon­kre­ter Hand­lungs­plan bis Mai 2018 emp­fiehlt sich fol­gen­des Vor­ge­hen:

1. Schutz­be­darf der ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Da­ten er­mit­teln
2. Ri­si­ken für per­so­nen­be­zo­gene Da­ten ana­ly­sie­ren und be­wer­ten
3. Maßnah­men zum Schutz per­so­nen­be­zo­ge­ner Da­ten de­fi­nie­ren und um­set­zen
4. Er­geb­nisse do­ku­men­tie­ren

Die Punkte 1. und 2. rich­ten sich zum einen nach Sen­si­bi­lität und Um­fang der per­so­nen­be­zo­ge­nen Da­ten und zum an­de­ren nach der Be­schaf­fen­heit der vor­han­de­nen IT-In­fra­struk­tur. Da­bei ist zu er­mit­teln, mit wel­cher Wahr­schein­lich­keit wel­che Art von Da­ten be­droht sein kann. Daran anknüpfend, sind in Punkt 3. Maßnah­men zu de­fi­nie­ren und um­zu­set­zen, um Schäden an per­so­nen­be­zo­ge­nen Da­ten zu ver­hin­dern. Als Punkt 4. sind die ein­ge­rich­te­ten Maßnah­men zu do­ku­men­tie­ren, um den Auf­sichts­behörden die DS­GVO-Kon­for­mität nach­wei­sen zu können.

Deutlich erhöhte Bußgelder

Eine ganz we­sent­li­che Ände­rung im Verhält­nis zur bis­he­ri­gen Rechts­lage be­steht darin, dass die Sank­ti­onsmöglich­kei­ten für Da­ten­schutz­verstöße enorm er­wei­tert wer­den. Die Da­ten­schutz­behörden können bzw. müssen „wirk­same, verhält­nismäßige und ab­schre­ckende“ Geldbußen verhängen. Die DS­GVO sieht hierfür einen deut­lich erhöhten Bußgel­drah­men von bis zu 20 Mio. Euro oder bis zu 4 % des ge­sam­ten welt­wei­ten Jah­res­um­sat­zes ei­nes Un­ter­neh­mens bzw. des Kon­zern­ver­bun­des vor.

Fazit

Un­ter­neh­men soll­ten nicht nur, son­dern müssen ihre Da­ten­ver­ar­bei­tungs­pro­zesse zwin­gend an der DS­GVO und dem neuen BDSG aus­rich­ten. Ge­lingt das nicht, ist ab dem 25.5.2018 nicht nur mit ho­hen Geldbußen zu rech­nen, son­dern es können auch Image­schäden in ei­ner deut­lich sen­si­bi­li­sier­ten Öff­ent­lich­keit dro­hen.