EU Datenschutz-Grundverordnung

Wie in den vergangenen Wochen der Fachpresse entnommen werden konnte, wurde die EU-Datenschutzgrundverordnung (DS-GVO) am 14. April 2016 parlamentarisch verabschiedet und steht nun unmittelbar vor ihrer Veröffentlichung im Amtsblatt. 

Die Verordnung tritt zwanzig Tage nach der Veröffentlichung in Kraft; sie entfaltet ihre volle verbindliche Wirkung zwei Jahre nach diesem Zeitpunkt.

Die Verordnung ist für alle Unternehmen von Bedeutung, die IT-gestützt personenbezogene Daten verarbeiten. Dabei kommen sowohl Daten der eigenen Mitarbeiter als auch der Kunden in Betracht.

Bereits jetzt ist erkennbar, dass die Verordnung in vielerlei Hinsicht eine Anpassung bestehender Prozesse erforderlich macht. Die Verordnung weist an zahlreichen Stellen Öffnungsklauseln für den nationalen Gesetzgeber auf. Diese führen nach ersten Schätzungen dazu, dass wohl bis zu 300 bestehende Rechtsvorschriften des Bundes an die DS-GVO angepasst werden müssen. Der Bundesgesetzgeber will dies noch vor der Neuwahl im Jahr 2017 abschließen.

Diese Situation führt jedoch die Unternehmen in eine schwierige Situation. Sollten die national zu erwartenden Gesetzesänderungen abgewartet werden, stehen dem Unternehmen nur noch wenige Monate Zeit zur Verfügung, wenn zum Stichtag, ab dem die Verordnung verpflichtend einzuhalten ist, die notwendigen internen Änderungen vorgenommen werden sollen.

Die Umsetzung der Anforderungen der DS-GVO kann nicht aufgeschoben werden. Bereits heute ist klar erkennbar, dass die Verordnung eine drastische Verschärfung der Bußgeldtatbestände für den Verletzungsfall mit sich bringt. Bußgelder können ab Inkrafttreten der DS-GVO bis zu 4% des Weltumsatzes (!) eines Unternehmens betragen. Gleichzeitig verschärfen sich die Haftungsszenarien für die Unternehmensleitung.

Vor diesem Hintergrund ist ein Höchstmaß an Rechtssicherheit zu schaffen. Eine sorgfältige Analyse der DS-GVO zeigt, dass unabhängig von den zu erwartenden Anpassungen des nationalen Rechts bereits kurzfristig Gestaltungsbedarf besteht.

In diesem Zusammenhang soll nur auf einige zentrale Aspekte aufmerksam gemacht werden:

- auf an die technische Entwicklung angepassten Anforderungen an eine datenschutzrechtlich wirksame Einwilligung,

- auf die umfassenden Informations- und Dokumentationspflichten, um eine Transparenz der Verarbeitungsverfahren herzustellen,

- auf die erweiterten Auskunfts- und Betroffenenrechte,

- auf die Anpassung bestehender Speicher- und Löschkonzepte zur Erfüllung des „Rechts auf Vergessenwerden“,

- auf den Anspruch auf Datenportabilität,

- auf die Einführung eines Systems der Datenschutzfolgenabschätzung (Risikoanalyse)

- auf die Erweiterung der Haftung bei Auftragsdatenverarbeitung

- auf mögliche Neuinterpretation des Beschäftigtendatenschutzes vor dem Hintergrund der DS-GVO

- auf die Annäherung des Datenschutzes an die Compliance im Unternehmen, indem der Aspekt der Prävention betont wird,

- auf die Stärkung des betrieblichen Datenschutzbeauftragten, in dem diesem eine explizite Überwachungspflicht auferlegt und das Unternehmen verpflichtet wird, ihn so früh wie möglich in Geschäftsprozesse einzubeziehen.

Diese Themenfelder zeigen, dass im Unternehmen eine sorgfältige Analyse der bestehenden Verfahren und Abläufe erforderlich ist, um den Handlungsbedarf zu ermitteln.

Darüber hinaus erfordern diese Anpassungsprozesse Zeit, um sie gestalten und wirksam umsetzen zu können.

Dies gilt vor allen Dingen für die mit der DS-GVO neu eingeführten Pflichten der „Datenportabilität“ sowie der „Datenschutzfolgenabschätzung“.

Datenportabilität: Künftig wird das Unternehmen dem Betroffenen (Kunde, Mitarbeiter etc.), dessen personenbezogene Daten verarbeitet werden, auf Anforderung die vom Betroffenen überlassenen Daten in einem maschinenlesbaren Format zur Verfügung stellen müssen. Im bisherigen Datenschutzrecht musste das Unternehmen lediglich Auskunftspflichten erfüllen. Nun müssen bestehende IT-Systeme daraufhin geändert werden, dass über geeignete Exportfunktionen klar definierte Datensätze an den Betroffenen herausgegeben werden können. Meiner Einschätzung nach müsste bereits kurzfristig damit begonnen werden, bestehende IT-Infrastrukturen und –Systeme zu überprüfen, wo welche Daten des Betroffenen bislang gespeichert werden, ob diese von dem Anspruch auch Datenportabilität erfasst sind und geeignete Tools und Schnittstellen entwickelt werden, damit spätestens ab dem Tag, zu dem die Anforderungen der DS-GVO zu erfüllen sind, dem Anspruch auf Datenportabilität nachkommen zu können.

Ebenso gilt es bereits kurzfristig, der Aufgabe der Datenschutzfolgenabschätzung durch geeignete Maßnahmen Rechnung zu tragen. Eine Vielzahl weiterer Aspekte sind bereits im laufenden Jahr 2016 auf den Weg zu bringen, um rechtzeitig vor dem Wirksamwerden der Verordnung datenschutzrechtlich „compliant“ zu sein.

Datenschutzfolgenabschätzung: Die DS-GVO verfolgt den Anspruch, der Verletzung des Rechts auf informationelle Selbstbestimmung vorzubeugen. Dieses Ziel wird u.a. auch mit den Postulaten der „privacy by design“ sowie „privacy by default“ verfolgt. IT-Prozesse sind deshalb so auszugestalten, dass bereits technisch und organisatorische Maßnahmen einen effektiven Datenschutz ermöglichen. Dieser Ansatz wird dadurch ergänzt, dass das Unternehmen verpflichtet wird, seine Geschäftsprozesse daraufhin zu analysieren in wieweit datenschutzrechtliche Risiken damit verknüpft sind und wie diesen präventiv begegnet werden kann. 

Diese neue Verpflichtung wird der Geschäftsleitung des Unternehmens auferlegt. Ob eine wirksame Datenschutzfolgenabschätzung erfolgt, wird im Rahmen von Audits oder auch im Zusammenhang von Prüfungen des Jahresabschlusses und der Risikovorsorgesysteme geprüft werden. 

Die Beispiele zeigen, dass die Umsetzung der DS-GVO zeitnah in Angriff genommen werden sollte, um im Jahr 2018 die dann geltenden neuen Anforderungen erfüllen zu können. Hierfür besteht ein gewichtiger pragmatischer kaufmännischer Grund: Die Rechtsprechung hat in der jüngsten Vergangenheit wiederholt die Verletzung datenschutzrechtlicher Vorschriften als wettbewerbswidriges Verhalten gewertet und folgerichtig hieran Unterlassungsansprüche geknüpft. Damit wird die Einhaltung datenschutzrechtlicher Vorschriften nicht zuletzt im Wettbewerb konkurrierender Unternehmen zu einem wichtigen Faktor des kaufmännischen Erfolges: Wird die Nutzung eines Datenbestandes beispielsweise deshalb untersagt, weil die Datenportabilität nicht sichergestellt werden kann, droht dem Unternehmen, das sein Vertriebskonzept auf personenbezogenen Daten gründet, ein erheblicher Schaden, der neben dem Reputationsschaden nur langsam wieder kompensiert werden kann.

Über die angesprochenen Themen hinaus dürfte die DS-GVO auch aus einem weiteren Grund von Bedeutung sein:

Die DS-GVO verlangt, dass Produkte dem Grundsatz der „privacy by design“ verpflichtet sind. Damit könnte aus der Umsetzung der Verordnung auch für Ihr Unternehmen ein Geschäftsmodell entwickelt werden. Datenschutz wird damit zum Qualitätsmerkmal, mit dem Produkte ein Alleinstellungsmerkmal gewinnen können.

© Prof. Dr. Marcus Helfrich 2016