Daten Jetzt die EU-DSGVO in Angriff nehmen

Autor / Redakteur: Tilman Dralle, Thomas Werner* / Dipl. -Ing. Ines Stotz

Ab dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten verdrängen. Eine Verordnung, die es in sich hat: Ob verschärfte Wahrung von Betroffenenrechten oder massiv erhöhte Bußgelder – die EU-DSGVO bedeutet vor allem eines: viel Vorarbeit und Sorgfalt in punkto Implementierung.

Firma zum Thema

Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Warum – zeigt der Beitrag auf.
Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Warum – zeigt der Beitrag auf.
(Bild: gemeinfrei / CC0 )

Stand heute bleiben faktisch gerade einmal 11 Monate, um die Bestimmungen umzusetzen. Tilman Dralle und Thomas Werner, beide Juristen und Experten für Datenschutzmanagement bei TÜV Rheinland, ordnen die wichtigsten Punkte ein und geben Tipps, wie sich die Herausforderung erfolgreich meistern lässt.

Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der Datenschutz-Grundverordnung (DSGVO) verfolgte. Doch die erwünschte EU-weite Vereinheitlichung des Datenschutzrechts wurde nicht in allen Punkten konsequent umgesetzt. Denn die neue DSGVO umfasst rund 60 sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen.

Bildergalerie

Diese Möglichkeit hat der Deutsche Bundestag genutzt und Ende April einen entsprechenden Entwurf verabschiedet: das DSAnpUG-EU („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“). Der Deutsche Bundesrat hat dem Gesetzentwurf in seiner Sitzung vom 12. Mai ebenfalls seine Zustimmung gegeben. Damit wird das DSAnpUG-EU pünktlich zum 25. Mai 2018 – also dem DSGVO-Stichtag – in Kraft treten und das bisherige Bundesdatenschutzgesetz durch ein vollständig reformiertes „BDSG 2018“ ersetzen.

Inwieweit relativiert das „BDSG 2018“ datenschutzrechtliche Verpflichtungen aus der DSGVO für Unternehmen? Lässt sich so der Ressourcen- und Kostenaufwand für deutsche Unternehmen senken?

Fakt ist: Kurzfristige Änderungen des Gesetzesentwurfs der Bundesregierung haben dazu geführt, dass beispielsweise die geplante Einschränkung der Transparenzpflichten und Betroffenenrechte wieder ein gutes Stück zurückgenommen wurde: Beim Recht auf Löschung wurde die von der Bundesregierung beabsichtigte Ausnahme bei „unverhältnismäßig hohem Aufwand“ auf Fälle nicht-automatisierter Datenverarbeitung begrenzt. Bei den Informationspflichten können sich verantwortliche Stellen ebenfalls nicht mehr auf einen „unverhältnismäßigen Aufwand“ berufen. Auch hier zielt die überarbeitete Formulierung darauf ab, ausschließlich kleine Unternehmen mit noch analoger Datenverarbeitung zu entlasten.

„DSGVO: Kosten sparen durch einheitliches Datenschutz-Management“?

Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Die Vorteile eines klaren Bekenntnisses zur DSGVO liegen auf der Hand: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutz-Ansatz. Nichtsdestotrotz entscheidet am Ende der Einzelfall, ob und in welchem Ausmaß eine Nutzung von Ausnahmetatbeständen im BDSG 2018 unternehmerisch sinnvoll ist. Dies gilt sowohl für Konzerne als auch für KMUs.

Was sind die wichtigsten Schritte zur Umsetzung der DSGVO?

Unternehmen sollten zunächst alle relevanten Stakeholder über die wichtigsten Aspekte der DSGVO ausreichend informieren. Ansonsten wird ein Projekt dieser Größenordnung nicht erfolgreich zu bewältigen sein. Danach folgt die Gap-Analyse. Diese umfasst zunächst die Dokumentation des Ist-Zustandes: Wie haben wir den Datenschutz bisher gemanaged? Ist das Verfahrensverzeichnis aktuell? Welche Richtlinien zum Datenschutz und zur Datensicherheit liegen vor?

Anschließend ist der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich zu bestimmen. Hierfür ist es erforderlich, ein möglichst differenziertes Verständnis der neuen gesetzlichen Anforderungen zu besitzen. Die weiter unten aufgeführten Kernpunkte der DSGVO vermitteln einen Eindruck vom Aufwand, der mit der Umsetzung der DSGVO in einem relativ kurzen Zeitfenster verbunden ist. Eine sinnvolle Vorgehensweise ist es, in einer Gap-Analyse die Findings risikobasiert zu priorisieren. Bestimmte Gaps sollten nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angegangen werden.

Wer das Know-how nicht im Hause hat und mit personellen Engpässen zu kämpfen hat, ist beim Aufsetzen oder der Weiterentwicklung seines Datenschutzmanagementsystems mit externer Unterstützung gut beraten. Die Consultants sollten die DSGVO nicht allein durch die juristische Brille betrachten, sondern über Erfahrung in der Umsetzung von Managementsystemen und über ein umfassendes Verständnis informationssicherheits-technologischer Zusammenhänge verfügen. Das Unternehmen wiederum sollte einen Projektverantwortlichen benennen können, der den externen Berater bei der Implementierung unterstützt und der auch für die Zeit nach der Implementierung gecoacht werden kann.

Die Suche nach Unterstützung fachkundiger Dritter sollten Unternehmen nicht auf die lange Bank schieben. Denn viele Unternehmen befinden sich in einer vergleichbaren Situation und die Zahl der verfügbaren Berater ist endlich. Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat.

Was sind die wesentlichen Kernpunkte der DSGVO?

Der Accountability-Ansatz: Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Ansonsten drohen Bußgelder und möglicherweise Schadensersatzpflichten gegenüber Betroffenen. Mit der Einführung eines Datenschutzmanagementsystems ist die Nachweis-Pflicht professionell zu meistern, erhebliche Haftungsrisiken lassen sich gleich von Beginn an vermeiden. Außerdem spielt die Erfüllung der Rechenschafts- und Dokumentationspflicht bei Prüfungen durch die Aufsichtsbehörden oder Prüfdienstleister eine wichtige Rolle.

Verschärfte Bußgelder: Im Gegensatz zur bisherigen Rechtslage ist für die große Mehrheit der Vorschriften in der DSGVO, die Pflichten für datenverarbeitende Stellen begründen, die Möglichkeit einer Geldbuße vorgesehen. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens gegenüber dem bisherigen Maximalbetrag von 300.000 Euro: Bei Verstößen sind nun Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes möglich. Gehört das sanktionierte Unternehmen zu einer Unternehmensgruppe bzw. einem Konzern, ist bei der Bußgeldbemessung der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns maßgeblich.

Die Datenschutz-Folgenabschätzung: Das bisherige Instrument der „Vorabkontrolle“ weicht dem Konzept der Datenschutz-Folgenabschätzung (DSFA). Hier gilt: Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen. Entgegen der Auffassung einiger Juristen ist die DSFA nicht nur für neue Verarbeitungsvorgänge relevant. Datenverarbeitenden Stellen wird daher geraten, eine Folgenabschätzung auch für bestehende Verarbeitungen durchzuführen, sofern ein „hohes Risiko“ besteht. Die durchgeführten Risikobewertungen müssen nachvollziehbar dokumentiert werden.

Privacy by Design und Privacy by Default: Datenschutz muss integraler Bestandteil der Entwicklung von Produkten, Diensten oder Anwendungen sein. Maximaler Datenschutz muss „serienmäßig“ sein und nicht mehr die Option, die der Betroffene aktiv anwählen muss. Wichtig ist, dass insbesondere die „Privacy by Design“-Anforderungen die verantwortlichen Stellen treffen und nicht die Hersteller von Produkten, Diensten und Anwendungen.

Die Löschpflichten: Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, müssen Unternehmen zukünftig weitere Schritte unternehmen. Im Rahmen des neuen „Rechts auf Vergessenwerden“ müssen Dritte, die veröffentlichte Daten verarbeiten, identifiziert und sodann über das Löschbegehren informiert werden. Jedes Unternehmen sollte für seine Datenverarbeitungsprozesse also ein klares Löschkonzept vorweisen können.

Technische und organisatorische Maßnahmen (TOMs): Schwachstellen bei der technisch-organisatorischen Datensicherheit sind in der DSGVO bußgeldbewehrt, und zwar mit bis zu 2 Prozent des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Darüber hinaus müssen die TOMs dem „Stand der Technik“ entsprechen und damit stärker als bisher technischen Innovationen Rechnung tragen. Nützliche Best-Practice-Hinweise gibt die TOM-Liste nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Datenportabilität: Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben und auf Wunsch direkt an ein anderes Unternehmen übermitteln können.

Datenschutzbeauftragter: Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Darüber hinaus können künftig auch solche Unternehmen betroffen sein, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Die erweiterte Bestellpflicht kann beispielsweise ärztliche Gemeinschaftspraxen oder mit genetischen Analysen befasste Labors treffen, auch wenn diese unter der 10-Personen-Grenze liegen und daher bisher keinen Datenschutzbeauftragten benennen mussten.

Zertifizierung: Die DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der DSGVO vollumfänglich eingehalten werden. Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.

* Tilman Dralle, Thomas Werner, TÜV Rheinland

(ID:44755999)