Am 25. Mai 2018 beginnt mit dem Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) in Europa eine neue datenschutzrechtliche Zeitrechnung. Wir fassen die wichtigsten Aspekte für Unternehmen noch einmal zusammen.
Keine Übergangsfrist: Verordnung gilt unmittelbar
Die DSGVO (Datenschutzgrundverordnung) findet als europäische Verordnung unmittelbare Anwendung in allen EU-Mitgliedstaaten. Bislang bestehende datenschutzrechtliche Gesetze in den einzelnen Mitgliedstaaten werden dadurch weitestgehend verdrängt (z.B. das „alte“ Bundesdatenschutzgesetz [BDSG] oder die datenschutzrechtlichen Regelungen des Telemediengesetzes [TMG]). Zusätzlich wird es ein „neues“ BDSG geben. Dieses wird weitere nationale Aspekte regeln, bei denen die DSGVO über sog. Öffnungsklauseln den einzelnen Mitgliedstaaten einen verbleibenden Gestaltungsspielraum zugesteht (z.B. im Bereich des Beschäftigtendatenschutzes).
Mehr Pflichten – höhere Sanktionen
Unternehmen, die die zahlreichen neuen Pflichten nicht erfüllen und deren Datenverarbeitung nach dem 25. Mai 2018 nicht dem neuen Recht entspricht, müssen mit der Verhängung von erheblichen Bußgeldern durch die zuständigen Aufsichtsbehörden rechnen. Während bei Datenschutzverstößen bisher bis zu EUR 300.000,00 Bußgeld drohten, eröffnet die DSGVO nunmehr einen sehr viel weiteren Bußgeldrahmen, nämlich in Höhe von bis zu EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.
Unsere „TOP-five“ Handlungsempfehlungen zur Umsetzung der DSGVO
Bis zum 25. Mai 2018 bleibt nicht mehr viel Zeit. Unternehmen, die sich bislang nicht oder nur sehr wenig mit der DSGVO beschäftigt haben, sollten spätestens jetzt starten. Bei der Umsetzung des neuen Rechts empfiehlt sich eine ebenso gründliche wie pragmatische Herangehensweise. Zunächst sollten die wichtigsten Anforderungen des neuen Rechts als „Must-have“ für eine DSGVO-Compiance nachweisbar erfüllt werden. Dies kann in fünf Schritten geschehen, womit dann jedenfalls eine Basis gelegt wäre, für weitere Maßnahmen, mit denen sodann nach und nach Schwachstellen behoben werden können, um den Erfordernissen der DSGVO in größtmöglichem Umfang zu genügen.
TOP 1: Datenschutzbeauftragter
Durch die DSGVO wird erstmals europaweit eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (intern oder extern) eingeführt. In Deutschland bleibt es dabei bei der bisher schon bestehenden Regelung, dass ein Datenschutzbeauftragter dann bestellt werden muss, wenn ein Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Die Anforderungen sind insoweit relativ gering, was in der Praxis bisher häufig verkannt wird. Ein Datenschutzbeauftragter ist zudem dann unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen zu bestellen, wenn eine Datenschutzfolgeabschätzung (vgl. dazu nachstehend unter Ziffer 5) stattzufinden hat, so dass z.B. auch kleinere Unternehmen, die technisch-innovative Produkte entwickeln, betroffen sein können.
Empfehlung: Falls ein Datenschutzbeauftragter zu bestellen ist, empfehlen wir, schnellstmöglich zu handeln, da dieses Erfordernis sehr leicht von den zuständigen Aufsichtsbehörden geprüft werden kann. Sofern ein externer Datenschutzbeauftragter bestellt werden soll, ist zu berücksichtigen, dass es aufgrund der großen Nachfrage schnell zu Engpässen kommen könnte.
TOP 2: Datenschutzerklärungen
In Datenschutzerklärungen (sog. Privacy Policies) sind zukünftig mehr Informations- und Unterrichtungspflichten umzusetzen. Dies bezieht sich insbesondere auf deutlichere Hinweise über Zweck und Umfang bei der Beschreibung der entsprechenden Verarbeitungsvorgänge sowie auf ausdrückliche Angaben zu den Rechtsgrundlage unter Nennung der relevanten Normen der DSGVO. Soll eine Verarbeitung z.B. auf ein „berechtigtes Interesse“ der verantwortlichen Stelle (des Unternehmens) oder eines Dritten gestützt werden (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) ist zudem ausdrücklich zu erläutern, woraus sich dieses Interesse ergibt. Schließlich ist verstärkt über Rechte der Betroffenen zu informieren.
Empfehlung: Alle Datenschutzerklärungen sollten überarbeitet und an die Anforderungen der DSGVO angepasst werden.
TOP 3: Einwilligungen
An die Unterrichtung des Betroffenen in die Nutzung seiner personenbezogenen Daten werden ebenfalls erhöhte Anforderungen gestellt. Die DSGVO geht insofern von einem strengen „opt-in“, dem Erfordernis einer ausdrücklichen Zustimmung, aus.
In AGB enthaltene Einwilligungen des Betroffenen bzw. „opt-out“-Lösungen sind nicht mehr ausreichend. Zudem ist zu beachten, dass die Erfüllung eines Vertrages – anders als zum Teil noch unter dem „alten“ BDSG – unter Umständen nicht von der Abgabe einer Einwilligung in die Datenverarbeitung abhängig gemacht werden kann, soweit dies für ie Erfüllung des Vertrages nicht erfoderlich ist (sog. Koppelungsverbot). Dies betrifft z.B. das Geschäftsmodell „Dienste gegen Daten“ (z.B. Gewinnspiele bei denen als Bedingung für die Teilnahme in den Erhalt von Werbung eingewilligt werden muss). Eine etwaig erforderliche Einwilligung kann dabei auch auf elektronischem Weg erteilt werden.
Empfehlung: Überprüfen Sie Einwilligungserfordernisse kritisch, überarbeiten Sie Einwilligungstexte und passen Sie diese an die Anforderungen der DSGVO an.
TOP 4: Auftrags(daten-)verarbeitung
Bei der Auftragsdatenverarbeitung – zukünftig nach der DSGVO (vgl. Art. 28) nur noch als Auftragsverarbeitung bezeichnet – wird künftig auch der Auftragsverarbeiter verstärkt in die Pflicht genommen (z.B. in Bezug auf etwaige Dokumentationspflichten). Der Auftragsverarbeiter kann zudem direkt für Datenverstöße haften. Möchte der Auftragsverarbeiter Subunternehmer einsetzen, muss der Auftraggeber dem Einsatz des konkreten Subunternehmern nunmehr ausdrücklich zustimmen. In formeller Hinsicht verlangt die DSGVO beim Abschluss von entsprechenden Auftragsverarbeitungsvereinbarungen keine Schriftform mehr. Entsprechende Verträge können zukünftig auch elektronisch abgeschlossen werden.
Empfehlung: Bestehende Auftragsverarbeitungsvereinbarungen sollten überprüft und an die neuen Anforderungen der DSGVO angepasst werden.
TOP 5: Bewertung von Datenschutzrisiken
Zukünftig wird es mehr als bisher darauf ankommen, Datenschutzrisiken richtig einzuschätzen und die entsprechenden Maßnahmen zu ergreifen, insbesondere im Hinblick auf eingesetzte oder genutzte IT-Systeme. Die DSGVO verlangt unter bestimmten Voraussetzungen eine sog. „Datenschutzfolgeabschätzung“. Unternehmen müssen daher ggf. vor einer Datenverarbeitung die Folgen für die betroffenen abschätzen, dokumentieren und dies ggf. mit der zuständigen Aufsichtsbehörde abstimmen. Dies kann z.B. eine Rolle spielen, wenn neue Technologien eingesetzt werden sollen.
Empfehlung: Wir raten zu einer kritischen Überprüfung etwaiger Datenschutzrisiken sowie ggf. zur Implementierung standardisierter Prozesse zur Vornahme von Datenschutzfolgeabschätzungen und die Durchführung sowie Dokumentation erforderlicher Datenschutzfolgeabschätzungen vor einer Datenverarbeitung.
Fazit
Die Umsetzung der Vorgaben der DSGVO ist für Unternehmen unter Compliance-Gesichtspunkten von enormer Bedeutung. Verstöße können mit empfindlichen Bußgeldern geahndet werden.
Unternehmen sollten die DSGVO aber auch als Chance betrachten, die bisherigen datenverarbeitenden bzw. IT-Prozesse kritisch zu durchleuchten und ggf. klarere und transparente Strukturen zu implementieren. Die erfolgreiche Umsetzung der DSGVO-Anforderungen macht das betreffende Unternehmen fit für die Digitalisierung.
Sprechen Sie uns gerne an. Das Team von EEP unterstützt Sie gerne bei Ihren Fragen zur DSGVO und hilft Ihnen dabei, die für Sie neuen Anforderungen zu identifizieren, Ihre Datenschutzrisiken richtig einzuschätzen und die entsprechenden Maßnahmen zu ergreifen.
Bildquelle: mixmagic – shutterstock.com