Expertentipps zur DSGVO #1 - Das müssen Unternehmer wissen
Tresorit-Gastautorin Regina Mühlich (AdOrga Solutions München) ist eine gefragte Sachverständige, Beraterin und Autorin zu Fragen rund um Datenschutz und Qualitätsmanagement. Die zertifizierte Expertin berät Unternehmen zu Datenschutz und IT-Sicherheit sowie Managementsystemen und Zertifizierungen. Im Tresorit-Blog erklärt sie, was sich mit der EU-Datenschutzgrundverordnung für deutsche und österreichische Unternehmer ändern wird, welche Anforderungen die EDV im Unternehmen zukünftig erfüllen muss und wie sich Firmen bereits jetzt auf die DSGVO vorbereiten können. |
Vier Jahre lang heftig diskutiert und debattiert: Die neue EU-Datenschutzgrundverordnung (EU-DSGVO oder auch DSGVO). Im April 2016 erfolgte die Zustimmung seitens EU-Rats und EU-Parlaments. Ab 25. Mai 2018 gelten für alle EU-Länder die gleichen Standards.
Es war dringend an der Zeit: Die bisherigen Datenschutzregeln stammen aus dem Jahr 1995 (Datenschutzrichtlinie 95/46/EG). Zu weiten Teilen veraltet, wurden sie in den einzelnen Ländern der Gemeinschaft auch unterschiedlich umgesetzt. Wie geht es aber nun weiter? Was bleibt, was verändert sich?
Regelung mit Durchgriffswirkung
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der neuen Verordnung. Entsprechend heißt es in Artikel 99 „… Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung, verfügt die neue EU-DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt nationales Datenschutzrecht.
Übergangsfrist und Öffnungsklauseln für nationale Umsetzung
Knapp zwei Jahre, bis zum 25. Mai 2018, haben die einzelnen Länder Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen gibt es Öffnungsklauseln (sog. Regelungsspielräume) für den nationalen Gesetzgeber, die es vor Inkrafttreten der DSGVO zu regeln gilt. Die Liste reicht von Gesundheit und Forschung über den Arbeitnehmerdatenschutz bis hin zu Berufsgeheimnissen.
Was ändert die DSGVO für Unternehmen?
Ob die EU-DSGVO wirklich strenger ist, wird kontrovers diskutiert. Wie so oft kommt es auf den Blickwinkel des einzelnen Unternehmens an. Die EU schraubt an vielen Stellen:
1. Bußgelder
Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Halten sich Unternehmen oder Betriebe nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden.
2. Nachweispflicht und Unterrichtung
Unternehmen und Betriebe müssen, wie bisher auch, wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Management-System inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Änderungsmanagement wird notwendig. Des Weiteren müssen Betriebe betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder.
3. Datenschutz-Folgeabschätzung
Neu ist auch die Pflicht zur Datenschutz-Folgeabschätzung. Setzt ein Unternehmen eine neue Technik, eine neue Software oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten, sollen so Grundrechtsverletzungen verhindert werden. Die sechs Schutzziele, wie Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, werden nicht nur aus der Unternehmensperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um die Organisation selbst, die Daten verarbeitet und als Risiko betrachtet wird. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
4. Weltweite Geltung der DSGVO
Die Datenschutzgrundverordnung soll nicht nur innerhalb der Europäischen Union gelten, sondern weltweit. Auch Unternehmen im EU-Ausland – egal ob Schweiz oder USA – müssen den europäischen Datenschutz einhalten, wenn sie Daten von Personen aus der EU verarbeiten, diesen Personen Waren und Dienstleistungen anbieten.
Neue Rechte für betroffene Personen
Datenschutz klingt vordergründig, als müssten Daten geschützt werden. Doch vielmehr geht es um den Schutz all der Personen, welche diese Daten „verursachen“. Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die EU-DSGVO insbesondere die Rechte der betroffenen Personen stärkt. Für Betriebe die im B2C-Bereich tätig sind, wird das eine große Herausforderung.
1. Recht auf Vergessenwerden
An erster Stelle sei das neue „Right to be forgotten“ genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen
2. Datenportabilität
Ein weiteres neues Recht stellt die Datenportabilität dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Für klein- und mittelständische Unternehmen wird die Umsetzung dieser Regelung sicherlich aufwändig und auch teuer werden. Die Datenportabilität gilt auch, wenn beispielsweise ein Arbeitsverhältnis endet.
3. Arbeitnehmerdatenschutz
Für den Arbeitnehmerdatenschutz gibt es eine nationale Öffnungsklausel. Es bleibt abzuwarten, wie die einzelnen EU-Länder mit der Öffnungsklausel hinsichtlich des Arbeitnehmerdatenschutzes umgehen. In Deutschland ist davon auszugehen, dass § 32 BDSG „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ weitestgehend unverändert bleibt.
4. Data protection by design und by default
Insbesondere dem Grundsatz Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) ist hier Genüge zu tun.
„Privacy by Design“ soll sicherstellen, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden. Die Privatsphäre von Nutzern soll geschützt werden und Anwender sollten die Kontrolle über die eigenen Informationen haben.
„Privacy by Default“ will ähnlich wie „Privacy by Design“ eine datenschutzkonforme Technikgestaltung bewirken: Produkte sind standardmässig datenschutzfreundlich einzustellen (z.B. Setzen von Cookies ist unerlaubt oder nur mit Zustimmung des Betroffenen möglich).
Was können Unternehmen jetzt (schon) tun?
Unternehmen sind gut beraten, sich bereits jetzt auf das Inkrafttreten der neuen EU-Datenschutzgrundverordnung vorzubereiten, damit es im Mai 2018 kein böses Erwachen gibt:
- Prüfen Sie bereits jetzt, welche Systeme und Software – vom Abrechnungs- bis hin zum Warenwirtschaftssystem – im Unternehmen von der neuen Gesetzgebung betroffen sind.
- Prüfen Sie Ihr bestehendes Datenschutzmanagement-System auf Gesetzeskonformität.
- Wo steht Ihr Unternehmen jetzt und was ist wann zu tun, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden?
- Führen Sie eine Risiko-Analyse durch. Welche Risiken und Gefährdungen drohen Ihrem Unternehmen?
- Planen Sie Ihre Ressourcen, sowohl im Hinblick auf Mitarbeiter als auch auf das Budget. Es gibt viele Veränderungen und Vieles wird anzupassen sein.
- Erstellen Sie einen Plan. In größeren Unternehmen wird die Transformation auf die Datenschutzgrundverordnung eine große Herausforderung. Beginnen Sie rechtzeitig – einige Arbeitsschritte können schon jetzt umgesetzt werden.
- Auch wenn die nationalen Gesetzgeber dies noch im Detail definieren werden – Die EU-DSGVO sieht vor, dass die meisten Unternehmen einen Datenschutzbeauftragten bestellen müssen. Jetzt ist der beste Zeitpunkt, die interne Situation zu prüfen und sich rechtzeitig externe Unterstützung zu holen.
- Das neue Datenschutzgesetz sieht umfassende Rechenschafts- und Dokumentationspflichten vor. Überlegen Sie, wie und mit welchen Mitteln Sie dies zukünftig gewährleisten können.
- Dies alles verursacht (hohe) Umsetzungskosten. Planen Sie diese auch in Ihr zukünftiges Budget ein.
Datenschutz ist kein Produkt, Datenschutz ist ein Prozess! Unter diesem Aspekt betrachtet, werden auch die Herausforderungen der neuen EU-Datenschutzgrundverordnung zu meistern sein.