Die Datenschutz-Grundverordnung regelt ab 2018 die Verarbeitung von personenbezogenen Daten. Unternehmen sollten sich schon jetzt vorbereiten.
Gewaltige Lobby-Schlachten sind wegen der Datenschutz-Grundverordnung (DS-GVO) geführt worden. Sie wurde nun am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht und regelt insbesondere die Verarbeitung personenbezogener Daten. In Kraft treten wird sie zwar erst am 25. Mai 2018, aber diese zweijährige Übergangszeit sollten alle Unternehmen intensiv für die Vorbereitung nutzen.
Auch nach dem Abschluss des Gesetzgebungsverfahrens wird kontrovers über Ausgestaltung und Bedeutung des Regelwerks diskutiert, das folgende amtliche Bezeichnung trägt: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundordnung)“. Diese sperrige Bezeichnung könnte symbolisch stehen für die Unsicherheit, mit der Unternehmen, Behörden, Vereine, Verbände und Freiberufler den künftigen Vorschriften gegenüberstehen. Denn darüber, wie die neuen Normen im Detail wirklich zu verstehen bzw. zu vollziehen sein werden, wird vielfach spekuliert. Für mehr Klarheit sorgen dürften in den nächsten Monaten Verlautbarungen und Leitlinien der deutschen Aufsichtsbehörden und des neu geschaffenen Europäischen Datenschutzausschusses. Datenschutz-Experten sind sich aber einig, dass abschließende Klarheit in einzelnen Fragen – etwa bei den erheblich geänderten Normen im Bereich der Datensicherheit – wohl erst im Laufe der nächsten Jahre durch die Rechtsprechung des Europäischen Gerichtshofs geschaffen werden wird.
Dies bedeutet aber nicht, dass Unternehmen erst einmal abwarten sollten. Vielmehr sollten sie schon jetzt analysieren, in welchen Bereichen sie durch die DS-GVO betroffen sein könnten. Denn die wesentlichen Bestimmungen liegen fest: Die DS-GVO regelt vor allem die Art und Weise, wie jegliche personenbezogenen Daten verarbeitet werden dürfen. „Verarbeitung“ ist der neue Einheitsbegriff, der die bisherigen differenzierten Begriffe umfasst („Daten erheben, speichern, verändern, übermitteln, sperren, löschen oder nutzen“). Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifiziert werden kann eine Person laut DS-GVO, wenn ihr direkt oder indirekt ein Name, eine Kennnummer (z.B. Steuernummer), Standortdaten, eine Online-Kennung (E-Mail-Adresse) oder ein oder mehrere charakteristische Merkmale zugeordnet werden können. Die Verarbeitung der personenbezogenen Daten muss nicht zwingend in der EU selbst stattfinden. Vielmehr erfasst die DS-GVO auch die Datenverarbeitung außerhalb der EU, wenn sie durch einen Verantwortlichen oder einen Auftragsverarbeiter mit Sitz in der EU erfolgt.
Wie das bisherige Datenschutzrecht geht auch die DS-GVO davon aus, dass mit personenbezogenen Daten nur dann umgegangen werden darf, wenn eine Einwilligung des Betroffenen vorliegt oder wenn eine Rechtsgrundlage dies erlaubt oder anordnet.
Datenverarbeitung dokumentieren
Die Kenntnis dieser Regelungen der DS-GVO reicht für die Unternehmen aus, um sich schon jetzt an die wichtigsten Vorbereitungsarbeiten zu machen. Sie bilden die Basis, um später beurteilen zu können, ob der Betrieb die Vorschriften der DS-GVO einhält. Jedes Unternehmen sollte jetzt sehr genau prüfen, welche personenbezogenen Daten von Mitarbeitern, Kunden oder sonstigen Geschäftspartnern verarbeitet werden, auf welcher Rechtsgrundlage diese Verarbeitung erfolgt, zu welchem Zweck dies geschieht, an wen Daten übermittelt und wann diese Daten gelöscht werden. Eigentlich sind die verantwortlichen Stellen aufgrund des geltenden Bundesdatenschutzgesetzes schon jetzt verpflichtet, entsprechende Verfahrensverzeichnisse zu erstellen und zu führen. Aus der Prüfpraxis des Bayerischen Landesamtes für Datenschutzaufsicht ergibt sich, dass dies von vielen Unternehmen eher als eine lästige Formalie angesehen wird und deshalb als Dokumentation über die Datenverarbeitung im Unternehmen häufig nicht ausreichend ist. Nur wer eine derartige Verarbeitungsübersicht hat und Datenbestand und Datenflüsse im eigenen Unternehmen identifizieren kann, wird in der Lage sein, die datenschutzrechtlichen Vorgaben zu erfüllen. Ernst wird es spätestens mit der DS-GVO: Sie verpflichtet die Datenverarbeiter ebenfalls, derartige Verfahrensübersichten zu führen und die Folgen bestimmter Maßnahmen (z. B. Videoüberwachung) für den Datenschutz abzuschätzen und zu dokumentieren. Verstöße dagegen unterliegen extrem hohen Sanktionen.
Alle Unternehmen sollten deshalb für Transparenz über die Datenverarbeitung im eigenen Unternehmen sorgen. Nur wenn man weiß, welche Daten auf welche Art und Weise verarbeitet werden, wird man prüfen können, ob diese Verarbeitung in Zukunft unter den Voraussetzungen der DS-GVO noch so möglich ist bzw. was gegebenenfalls geändert werden muss. Die zweijährige Übergangsphase bis zum Inkrafttreten der Grundverordnung sollte intensiv genutzt werden. Diese Zeitspanne werden viele Unternehmen brauchen, um ihre Prozesse anzupassen und umzustellen. Eine weitere Übergangsphase nach dem 25. Mai 2018 bzw. eine Schonfrist bei der Prüfung durch die Aufsichtsbehörden wird es jedenfalls nicht geben.
Das Bayerische Landesamt für Datenschutzaufsicht informiert über alle Fragen zu den Vorschriften der neuen DS-GVO. Das Landesamt und alle anderen Aufsichtsbehörden sowie die Kammern und Verbände sind dankbar für Hinweise auf unklare Regelungen oder Umsetzungsprobleme. Sie helfen den Aufsichtsbehörden, offene Fragen und ungelöste Problemfelder zu erkennen und – auch in Zusammenarbeit mit den anderen zuständigen Behörden auf deutscher und europäischer Ebene – Klarstellungen vorzunehmen.
