Sind Ihre Daten sicher? Neue Herausforderungen für den Mittelstand
copyright: pixabay.com
Ab Mai 2018 gelten für alle europäischen Unternehmen neue Spielregeln im Umgang mit den Daten ihrer Kunden, Mitarbeiter etc. Auch wenn 2018 noch sehr fern scheint, empfiehlt sich eine zeitnahe Auseinandersetzung mit den neuen Anforderungen, da umfangreiche neue Prozesse im Unternehmen einzuführen sind. Dies ist nicht zuletzt deshalb empfehlenswert, weil künftig Verstöße gegen das Datenschutzrecht mit bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens bzw. sogar einer Konzerngruppe geahndet werden können.
Was bleibt: u. a. der Datenschutzbeauftragte …
Die Datenschutzgrundverordnung (DSGVO) gilt künftig unmittelbar in allen Mitgliedsstaaten der Europäischen Union (EU). An einigen Stellen sieht die DSGVO ausdrücklich vor, dass der nationale Gesetzgeber eigenständige Regelungen treffen darf (z. B. bei der Bestellung des Datenschutzbeauftragten oder im Beschäftigtendatenschutz). Es wird erwartet, dass es hier bei dem geltenden Recht bleibt. Gleiches gilt z. B. für das Recht auf Löschung nicht mehr benötigter Daten oder das Recht zur Berichtigung falscher Daten.
Was kommt: Rechenschafts- und Nachweispflichten für den korrekten Umgang mit Daten
Eine wesentliche Änderung ergibt sich aus der neuen Rechenschaftspflicht: Ab 2018 ist nachzuweisen, dass die Grundprinzipien der DSGVO erfüllt werden. Misslingt der Nachweis, haftet das Unternehmen z. B. im Fall von Datenschutzverstößen.
Umfasst sind die Prinzipien der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Es ist nachzuweisen, dass Daten rechtmäßig verarbeitet werden. Zudem besteht künftig die Pflicht nachzuweisen, dass angemessene technischorganisatorische Maßnahmen zum Schutz der verarbeiteten Daten umgesetzt wurden. Diese sind zu auditieren. Bei Verfahren mit hohen Risiken (z. B. Videoüberwachungen) sind sogenannte Folgenabschätzungen durchzuführen, bei denen unter Umständen die Datenschutzaufsichtsbehörden einzubinden sind.
Was bedeutet das konkret?
Unternehmen müssen prüfen, welche Daten von wem sie überhaupt für welche Zwecke verarbeiten. Sofern dies nicht bekannt ist, empfiehlt sich eine kurze Bestandsaufnahme in den Abteilungen, in denen hauptsächlich mit Daten umgegangen wird (z. B. Personalabteilung, Vertrieb und IT). Diese Bestandsaufnahme kann direkt mit der Erstellung eines sogenannten Verfahrensverzeichnisses verbunden werden: Unternehmen mit mehr als 250 Mitarbeitern oder die sich mit kritischen Datenverarbeitungen (z. B. Umgang mit Patientendaten) beschäftigen, sind verpflichtet, für ihre verschiedenen IT-Systeme/Datenverarbeitungen ein Verzeichnis zu führen, dem Details zum Umgang mit den Daten zu entnehmen sind (z. B. welche Daten werden für welchen Zweck genutzt und an wen werden diese übermittelt). Auf Grundlage der Ergebnisse ist der eventuelle Handlungsbedarf festzustellen und aufgedeckte Lücken sind zu schließen.
Es empfiehlt sich zudem, zum Nachweis der Einhaltung der datenschutzrechtlichen Compliance die Anforderungen, die die DSGVO an den Umgang mit Daten stellt, in Richtlinien, wie z. B. IT-Security-Richtlinien oder Datenschutzhandbüchern, festzulegen. Es besteht zudem eine Verpflichtung zur Schulung der Mitarbeiter.
Damit aber nicht genug: Transparenz ist gefragt!
Erklärtes Ziel der DSGVO ist es, durch ein zeitgemäßes Datenschutzrecht die Rechte der Betroffenen, insbesondere deren Kontrolle über ihre eigenen Daten, zu stärken.
Unternehmen müssen daher künftig einfach verständlich bei der Erhebung der Daten über den Umgang mit ihren Daten informieren (z. B. mittels einer im Internet abrufbaren Datenschutzerklärung). Umfasst sind z. B. Informationen über die Rechtsgrundlage bzw. die berechtigten Interessen für den Umgang mit den Daten, Widerspruchsrechte oder Beschwerderechte gegenüber den Datenschutzaufsichtsbehörden. Die Informationspflicht gilt auch dann, wenn Daten nicht direkt bei Betroffenen erhoben werden (z. B. bei Kauf von Daten von Adresshändlern) oder wenn die ursprünglichen Zwecke im Umgang mit den Daten geändert werden (z. B. wenn nachträglich die Entscheidung fällt, die Daten für Werbezwecke zu nutzen).
Zudem ist innerhalb von bestimmten Fristen Auskunft über den Umgang mit Daten gegenüber dem Betroffenen zu erteilen. Neu ist auch das Recht, Daten, die ein Betroffener z. B. in einem Webshop im Rahmen einer Registrierung eingegeben hat, zu einem anderen Unternehmen in einem geeigneten Format mitzunehmen.
Auch wichtig: Meldung von Datenschutzverletzungen
Zurzeit besteht die Pflicht, in bestimmten Fällen (z. B. bei dem Verlust von Bankdaten) die Betroffenen bzw. die Datenschutzaufsichtsbehörde zu informieren. Die DSGVO sieht nun eine allgemeine Meldepflicht vor, die – unabhängig von der Art der Daten – dann gilt, wenn Risiken für den Betroffenen entstehen könnten. Dies kann bereits bei Verlust eines unverschlüsselten Laptops gelten. Zudem sind Meldefristen festgelegt (unverzüglich und möglichst innerhalb von 72 Stunden), deren Nichteinhaltung zu begründen ist bzw. zu Sanktionen führen kann.
Wann ist der Umgang mit Daten erlaubt?
Die DSGVO regelt in nur wenigen Abschnitten, wann Daten verarbeitet werden dürfen. Zulässig ist dies z. B. für die Erfüllung von Verträgen oder mit Einwilligung des Betroffenen. Es gelten Sondervorschriften für die Verarbeitung von besonderen personenbezogenen Daten (z. B. Gesundheitsdaten), für Daten Minderjähriger oder für Daten betreffend Straftaten. Betriebsvereinbarungen gelten weiter als Rechtsgrundlage für den Umgang mit Daten.
Der Austausch von Daten z. B. in Konzerngruppen oder mit anderen Dritten, wie Cloud-Providern, bedarf – wie heute – einer Rechtsgrundlage bzw. kann durch sogenannte Auftragsverarbeitungsverträge legitimiert werden. Sitzt der Empfänger außerhalb der EU in einem unsicheren Drittstaat, wie den USA, bedarf dies weiterhin ausreichender Garantien, um den Austausch zu rechtfertigen (z. B. durch den Abschluss der sogenannten Standardvertragsklauseln mit dem Empfänger). Die Datenschutzaufsichtsbehörden haben aktuell (November 2016) eine Fragebogenaktion bei 500 willkürlich ausgewählten Unternehmen gestartet, mittels derer sie prüfen, ob die befragten Unternehmen tatsächlich ausreichende Garantien für den Transfer der Daten geschaffen haben.
Fazit
Jedes Unternehmen muss künftig weit mehr dokumentieren, melden und informieren als bisher. Dazu muss das Unternehmen wissen, was es mit Daten macht, an wen es Daten weitergibt und wie es diese schützt. Spätestens 2017 sollte daher mit einer ersten Bestandsaufnahme begonnen werden. Dies bindet Manpower, die bereits jetzt als Aufwand für 2017 einkalkuliert werden sollte. Gleiches gilt auch für die Umsetzung des identifizierten Handlungsbedarfs. Abwarten ist nicht zu empfehlen; die Datenschutzaufsichtsbehörden werden sicher bereits 2018 mit den ersten Kontrollen beginnen. Missstände können – neben den hohen Geldbußen – auch zu einem Verlust der Reputation führen: Das Thema Datenschutz ist so präsent in den Medien wie noch nie, da insbesondere Datenpannen in der Öffentlichkeit auf große Resonanz stoßen. Das Fazit kann daher nur lauten: Packen Sie es an!
Gastautorin Silvia C. Bauer, Rechtsanwältin und Partnerin der Luther Rechtsanwaltsgesellschaft mbH
