Last Minute für Rechtssicherheit
Von Tilman Dralle und Thomas Werner, TÜV Rheinland
Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der EU-DSGVO verfolgte. Doch die neue EU-Datenschutz-Grundverordnung beinhaltet rund 60 sogenannte Öffnungsklauseln, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen. Diese Möglichkeit hat der Deutsche Bundestag genutzt: Das DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) wird pünktlich zum 25. Mai 2018 in Kraft treten und das bisherige Bundesdatenschutzgesetz durch ein vollständig reformiertes BDSG 2018 ersetzen.
Allerdings kann Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, grundsätzlich geraten werden, die Bestimmungen der DSGVO über weite Strecken eins zu eins umzusetzen. Die Vorteile eines klaren Bekenntnisses zur EU-DSGVO liegen auf der Hand: Ein einheitliches Datenschutzmanagement mit klaren Regeln in allen EU-Staaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutzansatz.
Kernpunkte der neuen DSGVO
- Accountability: Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Das bedeutet einen erheblich gestiegenen Dokumentationsaufwand im Vergleich zum bisherigen Bundesdatenschutzgesetz. Erfolgt der Nachweis nicht, müssen Unternehmen mit Bußgeldern rechnen und erhöhen gleichzeitig das Risiko, sich gegenüber Betroffenen schadensersatzpflichtig zu machen.
- Verschärfte Bußgelder: Im Gegensatz zur bisherigen Rechtslage ist jetzt für die große Mehrheit der Vorschriften die Möglichkeit einer Geldbuße vorgesehen. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens: Bei Verstößen sind nun Geldbußen bis 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes möglich.
- Datenschutz-Folgenabschätzung: Das bisherige Instrument der Vorabkontrolle weicht dem Konzept der Datenschutz-Folgenabschätzung (DSFA). Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen.
- Privacy by Design und Privacy by Default: Ob Produkte, Dienste oder Anwendungen: Datenschutz muss integraler Bestandteil der Entwicklung sein. Datenschutzgrundsätze wie insbesondere die Datenminimierung müssen schon in der Systementwicklung angemessen berücksichtigt bzw. umgesetzt werden. Unternehmen sollten also frühzeitig Druck auf die Anbieter ausüben, um ab Mai 2018 DSGVO-konforme Technik im Einsatz zu haben.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „IT- und Technologieunternehmen stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
- Löschpflichten: Das sichere und vollständige Löschen von personenbezogenen Daten ist noch umfassender geregelt. Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, müssen Unternehmen zukünftig weitere Schritte unternehmen, um dem „Recht auf Vergessenwerden“ stärkere Geltung zu verschaffen. So müssen sie, falls sie die Daten öffentlich gemacht haben, angemessene Maßnahmen ergreifen, um andere Unternehmen, die die Daten verarbeiten, zu identifizieren und sodann über das Löschbegehren zu informieren.
- Datenverarbeitung im Auftrag: Die Grundkonzeption der Auftragsdatenverarbeitung bleibt auch unter der DSGVO gleich. Nichtsdestotrotz gibt es einige wichtige Änderungen: So werden Auftragsverarbeiter erstmals für Datenschutzverstöße mit in die Haftung genommen. Während nach dem alten BDSG das Recht auf Schadensersatz ausschließlich der verantwortlichen Stelle gegenüber geltend gemacht werden konnte, normiert die DSGVO eine gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers.
- Technische und organisatorische Maßnahmen: Schwachstellen wie etwa veraltete Verschlüsselungsstandards sind im Rahmen der DSGVO von nun bußgeldbewehrt, und zwar mit bis zu 2 % des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Darüber hinaus müssen die TOMs (die technischen und organisatorischen Maßnahmen) dem „Stand der Technik“ entsprechen und damit stärker als bisher technischen Innovationen Rechnung tragen. Last, but not least muss in Zukunft neben der Erreichung der Schutzziele „Integrität, Vertraulichkeit & Verfügbarkeit“ auch die Belastbarkeit (Resilience) der Systeme und Dienste sichergestellt werden.
- Datenportabilität: Das Recht auf Datenportabilität bzw. Datenübertragbarkeit ist ein weiteres Instrument, das betroffene Personen in die Lage versetzen soll, mit ihren Daten selbstbestimmt umzugehen. Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben. Darüber hinaus haben sie die Pflicht, bei technischer Realisierbarkeit die Daten auf Wunsch direkt an ein anderes Unternehmen zu übermitteln. Für die Übergabe und Übermittlung der Daten darf dabei kein Entgelt erhoben werden.
- Datenschutzbeauftragter: Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Allerdings sieht die DSGVO auch eine Bestellpflicht für Unternehmen vor, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten besteht. Hierzu gehören u.a. Gesundheitsdaten sowie Daten zur Religionszugehörigkeit oder sexuellen Orientierung.
- Zertifizierung: Die DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dazu, nachzuweisen, dass die Bestimmungen der DSGVO vollumfänglich eingehalten werden. Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.
Was sind die nächsten Schritte?
Unternehmen sollten zunächst dafür sorgen, dass alle relevanten Stakeholder über die wichtigsten Aspekte der DSGVO ausreichend informiert werden. Ohne eine entsprechende Awareness für die neuen Herausforderungen wird ein Projekt solcher Größenordnung nicht erfolgreich zu stemmen sein. Danach folgt die Gap-Analyse. Diese umfasst zunächst die Dokumentation des Ist-Zustandes. In einem zweiten Schritt muss dann der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich bestimmt werden. Eine sinnvolle Vorgehensweise ist es, in der Gap-Analyse die Findings risikobasiert zu priorisieren. Bestimmte Gaps sollten nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angegangen werden.
Wer mit Blick auf den 25. Mai 2018 die Unterstützung fachkundiger Dritter sucht, sollte dies nicht auf die lange Bank schieben. Denn viele Unternehmen befinden sich in einer vergleichbaren Situation und die Zahl der verfügbaren Berater ist endlich.
Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat.