Unternehmen sollten umgehend prüfen, ob sie die Anforderungen der neuen EU-Datenschutz-Grundverordnung erfüllen.
Den Datenschutz in der Europäischen Union regelt die EU-Datenschutz-Grundverordnung (DS-GVO), die vor einem Jahr – am 25. Juni 2016 – in Kraft getreten ist. Sie soll gewährleisten, dass Daten frei im Binnenmarkt verarbeitet werden können. Auch Unternehmen aus Drittstaaten, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an diese Regeln halten.
Die DS-GVO enthält eine Übergangsfrist bis zum 25. Mai 2018. Bis dahin müssen Unternehmen ihre Prozesse an die neuen, höheren Anforderungen anpassen. Das betrifft insbesondere die Einführung bzw. Aktualisierung eines Datenschutzmanagements. Da Datenschutz und Datensicherheit durch die Verordnung sehr eng verknüpft sind, müssen auch beide Aspekte bei einem solchen Management berücksichtigt und abgebildet werden. Der Vorteil für deutsche Unternehmen ist, dass viele der neuen Anforderungen schon bekannt sind. So war die Führung eines Verfahrensverzeichnisses bereits nach dem Bundesdatenschutzgesetz (BDSG) verpflichtend, gleiches gilt für die Vorabkontrolle. Dennoch haben sich auch bei diesen Instrumenten Änderungen ergeben – nicht nur bei der Bezeichnung, sondern auch inhaltlich.
Der Grundsatz der Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine ausdrücklich geregelte Rechenschaftspflicht verdeutlicht. Sie schlägt sich auch in den angedrohten Bußgeldern bis maximal 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes nieder. Es lohnt sich also, sich mit den neuen Herausforderungen des Datenschutzes zu beschäftigen. Hinzu kommt die Änderung des Bundesdatenschutzgesetzes (BDSG), die noch für diese Legislaturperiode geplant ist, damit sie zeitgleich mit der DS-GVO in Kraft treten kann. Das BDSG versucht, aufgrund der zahlreichen Öffnungsklauseln der DS-GVO Erleichterungen für die Wirtschaft aus dem „alten“ BDSG hinüberzuretten (z. B. Regelungen für Auskunfteien und Scoring).
Was ist zu tun?
Bis zum 25. Mai 2018 ist es nicht mehr lang hin! Die Zeit drängt, um die rechtlichen Anforderungen zu erfüllen. Zunächst sollte eine Bestandsaufnahme gemacht werden: Was ist an datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden? Sind sie mit der DS-GVO kompatibel? Wird z. B. bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt werden, auf ein jederzeitiges Widerspruchsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Techniken eingesetzt, die die Rechte der betroffenen Person in hohem Maße gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
Wie sieht es mit den Vereinbarungen zur Verarbeitung personenbezogener Daten im Auftrag aus? Sind mit den IT-Dienstleistern solche Vereinbarungen geschlossen worden? Falls ja, müssen auch sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Entsprechen die Informationen über die Datenverarbeitung auf den Internet-Seiten des Unternehmens den Informationsvorgaben der DS-GVO? Die Vorordnung misst dem Aspekt der Transparenz große Bedeutung zu. Insofern ist zu prüfen, wie umfangreich über die Verarbeitung personenbezogener Daten informiert werden kann, um den Informationsrechten der Betroffenen Genüge zu tun.
Die bereits erwähnte Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO nachweisbar vorhanden sind und eingehalten werden. Zudem gehört zu einem Datenschutzmanagement, dass es eindeutige Regeln gibt, wer welche Rolle in den Ablaufprozessen spielt: Gibt es einen Prozess zur Einholung und Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist? Wie und von wem werden Auskunftsersuche beantwortet? Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt? Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.
Geschäftsleitung ist verantwortlich
Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen darin, die Prozesse auf ihre datenschutzrechtliche Zulässigkeit zu überwachen und die Geschäftsleitung zu beraten (z. B. hinsichtlich der Folgenabschätzung beim Datenschutz). In der Praxis wird der betriebliche Datenschutzbeauftragte vielleicht einige Aufgaben aus den neuen Anforderungen übernehmen, aber eine eigene Verantwortung für die Vereinbarkeit mit der DS-GVO ergibt sich daraus nicht.
