EU Datenschutz Grundverordnung

Das Speichern und Verarbeiten personenbezogener Daten (manuell, teilweise oder ganz automatisiert) ist heutzutage ein sensibles Thema. Daraus ergeben sich in den letzten Jahren auch rechtliche und politische Konsequenzen. In Europa wurde 2015 die EU-Datenschutzgrundverordnung (DSGVO) beschlossen. Diese Datenschutzverordnung soll die bestehenden Datenschutzgesetze erweitern, anpassen sowie europaweit vereinheitlichen und wird am 25.05.2018 nach einer dreijährigen Übergangsphase anwendbar. Verbunden damit wird in Deutschland das neue Bundesdatenschutzgesetz (BDSG) in Kraft treten.

Unternehmen, die noch unbedacht mit sensiblen Daten umgehen, werden also spätestens ab Mai 2018 Probleme bekommen. Zwar sind viele der Regelungen in ihrem Ansatz nicht neu, dennoch ergibt sich durch die neue Verordnung ein erhöhter Handlungszwang und viele Grauzonen gelten nicht mehr. Was bedeuten die neuen Gesetze also konkret für die IT-Prozesse kleiner und mittelständischer Unternehmen? Einige der wichtigsten Punkte zusammengefasst:

• Datentransfer in Drittstaaten: Besonders für Cloudnutzer gilt es darauf zu achten, ob die Daten beim Speichern die Grenzen zu Drittstaaten überqueren. Dies ist in der DSGVO nur dann legitim, wenn das Unternehmen garantieren kann, dass trotz der anderen Gesetzeslage die europäische, beziehungsweise deutsche Datenschutz-Regelung auch seitens des Cloudanbieters eingehalten wird. Zudem müssen unternehmensinterne Richtlinien oder überprüfte Standardklauseln für Datenschutz als durchsetzbare Rechte mit Rechtsbehelfen vorliegen, die die garantierte Einhaltung belegen. Um sicherzugehen, sollten Unternehmen bei der Wahl des Cloud-Anbieters auf dessen Datenschutzregeln sowie auf Zertifikate achten. Entsprechen diese den Vorgaben der DSGVO?

• Benachrichtigungspflicht: Unternehmen müssen die Betroffenen über die Erhebung und Verarbeitung personenbezogener Daten unterrichten. Ebenso haben Betroffene das Recht über die Übermittlung ihrer verwendeten Daten informiert zu werden.

• Das Recht auf „Vergessenwerden“: Können Sie als Unternehmer sicherstellen, dass Sie personenbezogene Daten in Ihrem Speichern genau lokalisieren und anschließend ausnahmslos löschen können? Denn genau dies fordert die EU-DSGVO. Daraus ergeben sich zwei Aspekte: Erstens müssen alle Daten im Zweifelsfall umgehend restlos auffindbar sein und zweitens müssen die verwendeten Datenverarbeitungsprogramme die Möglichkeit bieten, diese Daten auf der Stelle und ohne Ausnahme zu löschen. Es ist also eine Auseinandersetzung mit den (teilweise) automatisierten Anwendungen und dem Design der Datenverarbeitungsprogramme sowie dem manuellen Speicher- und Verarbeitungsverhalten der Mitarbeiter nötig. Dies erfordert transparente Prozesse und Rechercheaufwand.

• Datenvermeidung und Datensparsamkeit: Die Geschäftsprozesse sollten so ausgerichtet sein, dass dabei möglichst wenig Daten erhoben werden. Zusätzlich soll die Verarbeitung von personenbezogenen Daten, zum Zwecke der Sicherung der Privatsphäre, möglichst sparsam ausfallen.

• Datenschutzbeauftragter: Werden Daten automatisiert verarbeitet, sind Unternehmen zukünftig in der Pflicht, einen Datenschutzbeauftragten zu stellen. Dieser ist dafür zuständig, den ordnungsgemäßen Umgang mit Daten sicherzustellen, indem er die Anwendung der Datenverarbeitungsprogramme kontrolliert. Um diese Aufgabe erfüllen zu können, muss der jeweilige Mitarbeiter ausreichend fachkundig und zuverlässig sein.

• Bußgelder können teurer werden: Bisher gab es festgelegte Summen zur Bestrafung von Vergehen. Mit der neuen Verordnung können je nach Art, Dauer und den Umständen des Vergehens Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro erhoben werden. Auch Rügen oder Gewinnabschöpfung sollen abschrecken. Zusätzlich wird die Durchsetzung von Sanktionen einfacher möglich gemacht, um Unternehmen für das Thema Datenschutz zu sensibilisieren.

Die Zeit bis zum Ende der Übergangsphase wird langsam knapp, die zwei Jahre waren dafür gedacht, dass die Unternehmen rechtzeitig die aufwendigen Vorarbeiten leisten können. Doch diese Übersicht der wichtigsten Punkte zeigt: Wer sich bisher noch nicht eingehend mit dem Thema beschäftigt hat, sollte jetzt zügig die Umsetzung der EU-Datenschutzgrundverordnung angehen. Für einen umfassenden Überblick über Inhalte und Folgen der neuen Verordnung empfiehlt es sich, eine rechtliche Unternehmensberatung mit Fokus auf IT-Recht und Datenschutz hinzuzuziehen. Zudem sollten Unternehmer mit Hilfe von IT-Experten Bestandsanalysen und Prozessüberprüfungen vornehmen, um die nötigen technischen Prozessoptimierungen einzuleiten.