deen
Nexia Ebner Stolz

Die EU-Datenschutz-Grundverordnung kommt – was bedeutet das für Unternehmen?

Der Zeitpunkt rückt näher: die EU-Datenschutz-Grundverordnung („DSGVO“) gilt ab dem 25.5.2018 EU-weit unmittelbar und vorrangig gegenüber nationalem Recht. Deutschland hat hierzu ein Begleitgesetz erlassen, welches die Anforderungen der DSGVO konkretisiert und das noch geltende Bundesdatenschutzgesetz (BDSG) ab dem 25.5.2018 ablösen wird.

Bis zu die­sem Zeit­punkt haben Unter­neh­men noch Zeit, sich auf die neuen Bestim­mun­gen ein­zu­s­tel­len. Daten­schutz­be­hör­den dür­fen erst danach Sank­tio­nen ver­hän­gen.

Die EU-Datenschutz-Grundverordnung kommt – was bedeutet das für Unternehmen?© Thinkstock

Ziele und Anwen­dungs­be­reich der DSGVO

Ziel der DSGVO ist es, in der gesam­ten EU ein ein­heit­li­ches Daten­schutz­ni­veau zu schaf­fen. Bis­lang hatte jeder Mit­g­lieds­staat seine eige­nen Daten­schutz­re­ge­lun­gen, die nur zum Teil auf EU-Recht beruh­ten. Die Digi­ta­li­sie­rung macht aber vor Lan­des­g­ren­zen nicht Halt, so dass die unter­schied­li­chen Anfor­de­run­gen natio­na­ler Gesetze für grenz­über­sch­rei­tend tätige Unter­neh­men ein Pro­b­lem dar­s­tel­len. Die DSGVO soll die­sen Zustand behe­ben und vor allem ein­heit­li­che Rege­lun­gen und Wett­be­werbs­be­din­gun­gen für die Daten­ver­ar­bei­tung gewähr­leis­ten. Die DSGVO gilt für daten­ver­ar­bei­tende Stel­len mit Sitz in der EU, aber auch für sol­che ohne Sitz in der EU, die sich an betrof­fene Per­so­nen in der EU rich­ten.

Die DSGVO regelt den Schutz per­so­nen­be­zo­ge­ner Daten. Das sind sämt­li­che Daten, anhand derer man eine natür­li­che Per­son („betrof­fene Per­son“) iden­ti­fi­zie­ren kann. Die DSGVO rich­tet sich an öff­ent­li­che Stel­len wie auch an alle natür­li­chen und juris­ti­schen Per­so­nen („Ver­ant­wort­li­che“ und „Auf­trags­ver­ar­bei­ter“), die per­so­nen­be­zo­gene Daten ver­ar­bei­ten. „Ver­ar­bei­tung“ ist bei­spiels­weise das Erhe­ben, Erfas­sen, die Orga­ni­sa­tion, Spei­che­rung, Ver­än­de­rung, Ver­wen­dung, Über­mitt­lung, und auch die Löschung von Daten – kurz gesagt: jeder Vor­gang, der per­so­nen­be­zo­gene Daten betrifft. Jedes Unter­neh­men hat eine Viel­zahl sol­cher Daten: Exem­pla­risch seien hier Mit­ar­bei­ter- und Kun­den­da­ten genannt, aber auch Lie­fe­r­an­ten und Geschäfts­kon­takte ent­hal­ten oft einen Per­so­nen­be­zug.

Neue Rechen­schaftspf­licht für daten­ver­ar­bei­tende Unter­neh­men

Die DSGVO bestimmt zahl­rei­che kon­k­rete Pflich­ten, die Unter­neh­men erfül­len müs­sen. Diese Auf­ga­ben und Ver­ant­wort­lich­kei­ten ent­sp­re­chen teil­weise den bis­he­ri­gen Rege­lun­gen des deut­schen Bun­des­da­ten­schutz­ge­set­zes, sind aber in wei­ten Tei­len anders bzw. neu.

Ver­ant­wort­li­che, also z. B. die Unter­neh­men, sind nun­mehr für die Ein­hal­tung die­ser Daten­schutz­vor­ga­ben rechen­schaftspf­lich­tig, müs­sen also deren Ein­hal­tung nach­wei­sen. Sie müs­sen zwin­gend ihre Pro­zesse so ein­rich­ten und doku­men­tie­ren, dass den Daten­schutz­be­hör­den die daten­schutz­kon­forme Daten­ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten nach­ge­wie­sen wer­den kann.

Kon­k­re­ter Hand­lungs­be­darf

Der Anpas­sungs­be­darf muss bei jedem Unter­neh­men indi­vi­du­ell ermit­telt wer­den. Jedoch soll­ten Unter­neh­men min­des­tens fol­gende The­men ange­hen:

  • Ver­träge zur Auf­trags­ver­ar­bei­tung (mit Dienst­leis­tern) anpas­sen bzw. absch­lie­ßen,
  • Ver­ar­bei­tungs­ver­zeich­nis anpas­sen bzw. ers­tel­len,
  • Daten­schutz-Fol­ge­ab­schät­zun­gen durch­füh­ren,
  • tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men anpas­sen bzw. ein­rich­ten,
  • Infor­ma­tio­nen für Betrof­fene bereit­s­tel­len bzw. anpas­sen,
  • interne Pro­zesse ein­rich­ten, um die Betrof­fe­nen­rechte zu erfül­len,
  • Daten­schutz­be­auf­trag­ten bes­tel­len,
  • interne Pro­zesse für Mel­dun­gen von Daten­schutz­ver­stö­ßen ein­rich­ten,
  • Daten­schutz­ma­na­ge­ment­sys­tem anpas­sen bzw. ein­rich­ten,
  • Mit­ar­bei­ter schu­len.

Als kon­k­re­ter Hand­lungs­plan bis Mai 2018 emp­fiehlt sich fol­gen­des Vor­ge­hen:

  1. Schutz­be­darf der ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten ermit­teln
  2. Risi­ken für per­so­nen­be­zo­gene Daten ana­ly­sie­ren und bewer­ten
  3. Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten defi­nie­ren und umset­zen
  4. Ergeb­nisse doku­men­tie­ren
Die Punkte 1. und 2. rich­ten sich zum einen nach Sen­si­bi­li­tät und Umfang der per­so­nen­be­zo­ge­nen Daten und zum ande­ren nach der Beschaf­fen­heit der vor­han­de­nen IT-Infra­struk­tur. Dabei ist zu ermit­teln, mit wel­cher Wahr­schein­lich­keit wel­che Art von Daten bedroht sein kann. Daran anknüp­fend, sind in Punkt 3. Maß­nah­men zu defi­nie­ren und umzu­set­zen, um Schä­den an per­so­nen­be­zo­ge­nen Daten zu ver­hin­dern. Als Punkt 4. sind die ein­ge­rich­te­ten Maß­nah­men zu doku­men­tie­ren, um den Auf­sichts­be­hör­den die DSGVO-Kon­for­mi­tät nach­wei­sen zu kön­nen.

Deut­lich erhöhte Buß­gel­der

Eine ganz wesent­li­che Ände­rung im Ver­hält­nis zur bis­he­ri­gen Rechts­lage besteht darin, dass die Sank­ti­ons­mög­lich­kei­ten für Daten­schutz­ver­stöße enorm erwei­tert wer­den. Die Daten­schutz­be­hör­den kön­nen bzw. müs­sen „wirk­same, ver­hält­nis­mä­ß­ige und absch­re­cken­de“ Geld­bu­ßen ver­hän­gen. Die DSGVO sieht hier­für einen deut­lich erhöh­ten Buß­geld­rah­men von bis zu 20 Mio. Euro oder bis zu 4 % des gesam­ten welt­wei­ten Jah­re­s­um­sat­zes eines Unter­neh­mens bzw. des Kon­zern­ver­bun­des vor.

Fazit

Unter­neh­men soll­ten nicht nur, son­dern müs­sen ihre Daten­ver­ar­bei­tung­s­pro­zesse zwin­gend an der DSGVO und dem neuen BDSG aus­rich­ten. Gelingt das nicht, ist ab dem 25.5.2018 nicht nur mit hohen Geld­bu­ßen zu rech­nen, son­dern es kön­nen auch Ima­ge­schä­den in einer deut­lich sen­si­bi­li­sier­ten Öff­ent­lich­keit dro­hen.


nach oben