Thomas Gutte,
Datenschutzberater*

Die DSGVO steht nun kurz vor der Umsetzung

Nun ist es soweit, die verpflichtende Umsetzung der wesentlichsten Novellierung des Datenschutzrechts für in der europäischen Union tätige Unternehmen sowie nationale als auch europäische Institutionen steht vor der Tür. Vor genau zwei Jahren und damit ca. vier Jahre nach der Veröffentlichung des ersten Entwurfs der Europäischen Kommission (Januar 2012) trat die DSGVO in Kraft und ist nach einer zweijährigen Übergangszeit ab dem 25.05.2018 verpflichtend anwendbar. Die DSGVO stellt neben der vermutlich in 2019 umzusetzenden ePrivacy-Verordnung die Antwort der Kommission auf die rasante Entwicklung in der Datenverarbeitung dar. War mit dem Inkrafttreten der letzten Datenschutzrichtlinie in 1995 das Internet gerade erst aus den Kinderschuhen gesprungen, so sind heute Big-Data- und Cloudbasierte Lösungen längst nicht mehr wegzudenken. Weiterentwicklungen in den Bereichen der künstlichen Intelligenz sowie auch die Bitcoin- & Blockchain-Entwicklungen stellen des Weiteren große Herausforderungen an die Wahrung von Persönlichkeitsrechten von Betroffenen dar.

Was bedeutet die DSGVO nun konkret für die Unternehmen

Zunächst einmal muss an dieser Stelle festgehalten werden, dass sich für deutsche Unternehmen mit der DSGVO – inhaltlich gesehen – nicht viel im Vergleich zum bisherigen Bundesdatenschutzgesetz ändert. Wer sich bisher an die Regeln gehalten hat, dem wird die Umsetzung nicht allzu viel Bauchschmerzen bereiten, allenfalls die Dokumentation dessen. Wie hat es der hessische Datenschutzbeauftragte Herr Prof. Ronellenfitsch in einem kürzlich erschienen Zeitungsinterview meines Erachtens folgerichtig formuliert: „Wir waren zahnlos und haben jetzt Zähne bekommen. Das heißt nicht, dass wir bissig geworden sind.“ Er weist mit dieser Äußerung auf die Geldbußen und Sanktionsmöglichkeiten bei groben Verstößen gegen die DSGVO in den Art. 83 und 84 hin. Die möglichen maximalen Geldbußen in Höhe von bis zu vier Prozent des Konzernumsatzes oder 20 Mio. € haben in den letzten Monaten zu heftigen Reaktionen in den Medien und in der deutschen Wirtschaft geführt. Damit ist aber auch schon die wesentlichste Änderung genannt, in der bisherigen EU-Richtlinie war das Thema Durchsetzung doch sehr lückenhaft, – sprich die Mitgliedstaaten konnten hier eigene Regelungen treffen und in Deutschland war die Höchststrafe auf bis zu 300.000 € festgelegt worden.

 

Mit welchen Themen sollten sich Unternehmen in den letzten Monaten beschäftigt haben, um am 25.05.2018 zumindest im Kern DSGVO-konform aufgestellt zu sein:

  • Das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 der DSGVO sollte erstellt sein. (Weiterentwicklung des Verfahrensverzeichnisses gem. §§ 4d und 4e BDSG);
  • ein Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 der DSGVO muss entwickelt worden sein (Weiterentwicklung des §-en 4d Abs. 5 BDSG);
  • die technisch-organisatorischen Maßnahmen müssen risikobasiert gem. den Vorgaben des Art. 32 der DSGVO – Sicherheit der Verarbeitung fortentwickelt worden sein (bisher § 9 BDSG, zzgl. Anl. zum § 9 BDSG);
  • ein Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde muss gem. Art. 33 der DSGVO entwickelt worden sein (Fortschreibung der Vorgaben aus § 42a BDSG – Achtung neu Meldefrist 72 Stunden);
  • die Vereinbarungen mit Auftragsverarbeitern sollten gem. Art. 28 der DSGVO überprüft und ggf. modifiziert werden (bisher § 11 BDSG);
  • die Informationspflichten und das Recht auf Auskunft zu personenbezogenen Daten mussten den neuen Gegebenheiten gem. Art. 13 ff. angepasst werden (bisher §§ 33 ff. BDSG);
  • ein Löschkonzept gem. Art. 17 der DSGVO sollte zumindest organisatorisch entwickelt worden sein (bisher § 3a BDSG);
  • auch sollten die Bedingungen für die Einwilligung gem. Art. 7 der DSGVO beachtet worden sein und die Kunden- und Interessentendatenbestände diesbezüglich überprüft worden sein (bisher § 4a BDSG).

 

Zugegeben die vorgenannten Punkte stellen große Herausforderungen an die Dokumentation dar, sie und der daraus erkennbare Ansatz einer risikobasierten Bewertung des Datenschutz-managements sind aber eine konsequente Weiterentwicklung des GRC-Ansatzes (Governance, Risk und Compliance) eines jeden Unternehmens und der mittlerweile üblichen aufsichtsrechtlichen Forderungen im Banken und Versicherungsbereich sowie bei börsennotierten Gesellschaften – nur dass diesmal eben alle Unternehmen im Regelungsbereich der DSGVO hiervon betroffen sind. Und damit kommen wir zur positiven Bewertung dieser Entwicklung: Während bisher v. a. deutsche Unternehmen, und hier zumeist auch nur einzelne regulierte Bereiche, von derartigen Vorgaben betroffen waren, sind nun alle Unternehmen im Geltungsbereich betroffen. Die DSGVO baut somit Wettbewerbsnachteile ab und stärkt das Auftreten deutscher Unternehmen gegenüber Firmen in Drittstaaten außerhalb der Europäischen Union, da diese wohl nicht bereit sein werden, den europäischen Markt aufzugeben.

Ausblick über weitere datenschutzrechtliche Entwicklungen der nächsten Monate

Als nächstes müssen die Unternehmen sich mit der ePrivacy-Verordnung und deren Anforderungen beschäftigen. Außerdem stellt der neue US-Cloud Act, der vor einigen Tagen von dem amerikanischen Präsidenten verabschiedet worden ist, alle Unternehmen, die mit amerikanischen Firmen oder mit in Amerika an den Börsen gelisteten Firmen zusammenarbeiten, (z. B. Office 365, aber auch SAP) vor neue Herausforderungen.

Praxistipps

Unternehmen sollten sich spätestens jetzt die Frage stellen, ob sie für die neue Datenschutzgrundverordnung bereit sind: Passen die Datenschutzhinweise sowie die Einwilligungen zur Datenverarbeitung – z. B. auf Internetseiten oder bei Vertragsabschluss? Welche Rechte haben Kunden im Einzelfall? Liegen Vereinbarungen zur Auftragsverarbeitung vor, und zwar insbesondere auch dann, wenn personenbezogene Daten innerhalb eines Konzerns oder gar ins Ausland weitergegeben werden müssen? Muss ein Datenschutzbeauftragter bestellt werden? Wie steht es um das Verfahrensverzeichnis und die Datensicherheit, z. B. im E-Mailverkehr?

*Thomas Gutte ist seit rund 20 Jahren als Datenschutzbeauftragter für Unternehmen tätig, zu Beginn als interner Datenschutzbeauftragter im Banken- als auch Versicherungsbereich und in den letzten zehn Jahren als externer Datenschutzbeauftragter für diverse Unternehmen unterschiedlichster Branchen.