Die EU-Datenschutz-Grundverordnung – Herausforderungen und Auswirkungen für Unternehmen
Daten sind das neue Öl der Weltwirtschaft [1]. Wenn dem so ist, haben wir eine Gewissheit: Eine Ölkrise ist damit ausgeschlossen. Der Rohstoff "Daten" ist im Gegensatz zum Öl nämlich unendlich verfügbar. Zudem verbrauchen wir diesen Rohstoff nicht, sondern sorgen dafür, dass dieser fortlaufend "nachwächst" und sich sekündlich vermehrt.
Derzeit geht man davon aus, dass die Datenmenge weltweit von rund 8,6 Zettabyte im Jahr 2015 auf rund 40 Zettabyte im Jahr 2020 steigen wird. Mit 40 Zettabyte soll es dann 57-mal mehr Daten als Sandkörner auf den Stränden der Erde geben [2,3].
Wenn man hier noch die derzeitige Entwicklung im Bereich Industrie 4.0 berücksichtigt, dürften diese Werte wohl noch steigen, da sich tagtäglich die Vernetzung von Maschinen und deren Informationsaustausch intensiviert. Die erhobenen oder bereitgestellten Daten ermöglichen es Unternehmen z. B., Unternehmens- und Kundendaten für das eigene Qualitätsmanagement zu analysieren und die entsprechenden Prozesse hierauf zu optimieren. Daten werden strukturiert und je nach Kunde oder Interessent aufbereitet und auf die entsprechende Zielgruppe angewendet. Aus Daten lassen sich zukünftige Trends, Vorhersagen und konkrete Empfehlungen ableiten, um interne Unternehmensabläufe zu optimieren und Kapazitäten zu planen. Hier ergeben sich bislang ungeahnte, zumindest derzeit wohl noch nicht voll genutzte Potentiale für die Wirtschaft.
Daten sind ein Wirtschaftsgut. Bereits jetzt verdienen eine Vielzahl von Unternehmen ihr Geld nicht mit der Produktion von Gütern, sondern allein mit Hilfe von Daten (z. B. Uber, Facebook, Alibaba oder Airbnb). Auch wenn es sich bei diesen Daten nicht unbedingt fortlaufend um sog. personenbezogene Daten handelt, also Informationen, die einen Rückschluss bzw. eine Identifizierbarkeit einer Person zulassen (in der neuen Datenschutz-Grundverordnung heißt es auszugsweise: "Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen") – Es wird zumindest deutlich, dass diese Entwicklung mit den Geboten des europäischen Datenschutzes in Einklang zu bringen sein wird.
Dieser Herausforderung sollten und müssen sich Unternehmen und Unternehmer zeitnah stellen.
Die neue EU-Datenschutz-Grundverordnung (EU DS-GVO) - um was es geht
Das Datenschutzrecht – und damit die Regelung des Umgangs mit sog. personenbezogenen Daten – ist derzeit in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. Die Tatsache, dass bisher eine EU-Datenschutzrichtlinie einen gewissen einheitlichen Rahmen vorgibt, ändert daran nichts. Inhalt und Umfang des Datenschutzrechts ist aktuell noch Sache der einzelnen Staaten. Mit der am 14.04.2016 durch das EU-Parlament nunmehr verabschiedeten EU-Datenschutz-Grundverordnung (EU DS-GVO) wird sich dies in weiten Teilen ändern. Mit diesem Regelwerk wird das Datenschutzrecht in der EU vereinheitlicht und ab Mai 2018 unmittelbar in allen 28 Mitgliedsstaaten gelten. Das Bundesdatenschutzgesetz (BDSG) wird dann voraussichtlich nur noch die Bereiche regeln, in denen der EU-Gesetzgeber den Mitgliedsländern einen Regelungsspielraum gibt.
Es sollen so wenig personenbezogene Daten verarbeitet werden wie möglich.
Spätestens ab dem Jahre 2018 prallen damit zwei entgegengesetzte Interessen aufeinander: Das personenbezogene Datum als Wirtschaftsgut mit dem Datum als Schutzgut. Während die Datenflut und Datennutzbarkeit in den kommenden Jahren steigt, versucht die EU DS-GVO, dem Umgang und der Verarbeitung dieser sich vermehrenden Daten Grenzen zu setzen. Einer der wesentlichen Kernbereiche des Datenschutzrechts bleibt nämlich die sogenannte Datensparsamkeit. Es sollen also "so wenig personenbezogene Daten" verarbeitet werden wie möglich, um das Recht auf informationelle Selbstbestimmung der Bürger zu schützen. Big Data vs. Datenschutz!
Das wird sich ändern
Die EU DS-GVO bringt eine Vielzahl von Veränderungen und neuen Anforderungen mit sich. Die vermeintlich noch lange Zeit bis zur unmittelbaren Geltung der Vorordnung sollte dabei nicht den Eindruck vermitteln, Unternehmen müssten sich aktuell noch nicht mit den Regelungen befassen. Die Umsetzungsfrist sollte vielmehr bereits jetzt dazu genutzt werden, sich mit den Änderungen vertraut zu machen und bei Bedarf seine Geschäftsprozesse beim Umgang mit personenbezogenen Daten auf den Prüfstand stellen.
Die nachfolgende Übersicht soll die wesentlichen Änderungen beleuchten.
- Transparenzgebot und Dokumentationsgebot 2.0
Bereits jetzt sind Unternehmen datenschutzrechtlich verpflichtet, Betroffene über den Inhalt und Umfang der Verarbeitung ihrer personenbezogenen Daten umfassend und transparent zu informieren. Diesen Transparenzpflichten wird nunmehr ein eigener Abschnitt im Gesetz gewidmet und diese erheblich ausgeweitet. Unternehmen werden u. a. konkrete Fristen auferlegt, binnen deren Auskünfte zu erteilen oder Stellungnahmen abzugeben sind. Es müssen umfassende Dokumentationen vorliegen, die auf Zuruf des Betroffenen insbesondere verständlich und umfassend beschreiben, was Unternehmen mit den personenbezogenen Daten der Betroffenen machen, wie die jeweiligen Einwilligungen eingeholt und ggf. auch widerrufen werden können, sowie inwieweit die Verpflichtung zur Löschung der Daten besteht (nunmehr: "Recht auf Vergessenwerden"). Unternehmen in Europa werden damit sog. "Data Protection Policies" aufstellen müssen, die "transparent" den Umgang mit personenbezogenen Daten von Betroffenen erläutern und anhand der gesetzlichen Kriterien in Form von Datenschutz-Richtlinien bekanntmachen.
Darüber hinaus sind die Unternehmen zukünftig verpflichtet, gegenüber den Aufsichtsbehörden und den Betroffenen "Rechenschaft" darüber abzulegen, inwieweit die Rechte der Einzelnen gewährt sind. Dies geht weit über die bisherigen Dokumentationspflichten hinaus. Unternehmen müssen nachweislich dokumentieren, was sie zum Schutz der personenbezogenen Daten unternehmen und ob diese Dokumentation regelmäßig überprüft wird. Verfügt ein Unternehmen nicht über beweisbare Unterlagen, die diese Pflichten dokumentieren, könnten demnach allein deshalb Verfahren und Prozesse verloren gehen. - Neue Verfahrens- und Datenschutzprozesse
Unternehmen sehen sich zukünftig ganz neuen Datenschutzvorgaben ausgesetzt. Die datenschutzrechtlich verantwortliche Stelle wird dazu verpflichtet, die personenbezogenen Daten dem Betroffenen auf Anfrage in einer strukturierten, gängigen und maschinenlesbaren Form bereitzustellen. Was hierunter konkret zu verstehen ist, bleibt der technischen Entwicklung vorbehalten. Hier sind auf jeden Fall neue Verfahrensabläufe zu definieren, um diesem Recht auf "Datenübertragbarkeit" zu entsprechen.
Eine besonders wichtige Neuerung wird darin liegen, dass Unternehmen verpflichtet werden, Datenverarbeitungsvorgänge einzeln zu kategorisieren und die entsprechenden Sicherheitsvorkehrungen hierauf individuell anzupassen ("Privacy by Design" oder "Privacy by Default"). Hierbei wird es insbesondere auf die Kritikalität der betroffenen Daten ankommen, um festzustellen, welche Maßnahmen von Seiten der Unternehmen getroffen werden müssen. Je kritischer und "sensibler" die Daten, desto höher sind die Anforderungen an die Sicherheit. Bereits jetzt werden daher sog. "Data Security Officer" (DSO) geschult, die zukünftig das individuelle Sicherheitsbedürfnis bewerten und die hieraus resultierenden Sicherheitsanforderungen festlegen.
Das neue Datenschutzrecht wird den Unternehmen auch ganz neue Datenschutzprozesse auferlegen. Zu erwähnen ist hierbei die "Datenschutz-Folgeabschätzung". Die verantwortlichen Stellen werden verpflichtet, vor der eigentlichen Datenverarbeitung eine Abschätzung potentieller Folgen eines Verarbeitungsvorgangs vorzunehmen, falls eine solche voraussichtlich ein hohes Risiko der Betroffenen zur Folge hat (Privacy Impact Assessments). Explizit erwähnt werden hierzu die Fälle des sog. "Profilings" oder der Umgang mit besonderen personenbezogenen Daten. Dies sind nur einige der neuen Herausforderungen und Änderungen, mit denen sich Unternehmen in den kommenden Monaten befassen sollten. - Bußgelder – jetzt kann es teuer werden
Bislang wurde das Datenschutzrecht (auch) deshalb nicht als eines der zentralen "Compliance-Anforderungen" in Unternehmen angesehen, weil die Sanktionierung von Datenschutzverstößen zum einen nur selten durchgesetzt wurde und zum anderen deshalb, weil die wirtschaftlichen Risiken aufgrund von potentiellen Bußgeldern im Verhältnis zum Aufwand, ein umfassendes Datenschutz- und Datensicherheitskonzept zu implementieren, zu gering waren. Die nunmehr vorgesehenen Strafen bei Verstößen im Bereich des Datenschutzes werden hingegen erheblich angehoben. Künftig drohen Bußgelder von bis zu 20 Mio. € oder sogar bis zu 4% des weltweiten Umsatzes des jeweiligen Unternehmens. Diese potentiellen finanziellen Risiken sind von den Entscheidungsträgern in Unternehmen zu bewerten und bei den strategischen und unternehmerischen Entscheidungen zu berücksichtigen. - Compliance ist tot – lang lebe die Compliance
Der Begriff der "Compliance" wurde in den vergangenen Jahren nahezu inflationär verwendet. Etliche Unternehmen warben geradezu damit, in Anbetracht diverser Skandale neue "Compliance-Manager" eingestellt zu haben und neue "Compliance-Strukturen" aufzustellen. Das nationale Datenschutzrecht hat sich an dieses Thema (zumindest begrifflich) nicht herangewagt. Dies ändert sich nunmehr auch mit der Datenschutz-Grundverordnung. Die EU DS-GVO spricht in ihren Erwägungsgründen z. B. davon, dass "die Verarbeitung personenbezogener Daten zur Verhinderung von Betrug" ebenso ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellt, wie es zu den Interessen des Verantwortlichen zählen soll, "Hinweise auf mögliche Straftaten oder Bedrohungen" an eine zuständige Behörde weiterzugeben.
Compliance-Beauftragte müssen damit verstärkt mit Datenschutzbeauftragten "zusammenarbeiten", was Juristen jedoch bereits feststellen ließ, dass von nun an bei Verstößen gegen die Vorgaben des Datenschutzrechts die ebenfalls vorgesehene Kontrolle selbst zu einem Compliance-Verstoß werden kann, weshalb es zukünftig ein noch stärkeres Spannungsfeld zwischen Datenschutz und Compliance geben wird.
Sonderbereich: Arbeitsrecht und Datenschutz
Es gibt im Zusammenhang mit der EU-Datenschutz-Grundverordnung einige Bereiche, in denen die EU den nationalen Gesetzgebern einen gewissen Spielraum lässt. Hervorzuheben ist hierbei vor allem der Bereich "Arbeitnehmerdatenschutz". Das BDSG sieht hierzu insbesondere in § 32 BDSG Regelungen vor, wie mit personenbezogenen Daten im Beschäftigungsumfeld zu verfahren ist. Die EU DS-GVO überlässt es hier den jeweiligen Mitgliedsstaaten, Regelungen zum Beschäftigtendatenschutz zu erlassen. Insofern ist in den kommenden Monaten zu beobachten, ob und inwieweit der deutsche Gesetzgeber die bisherigen Regelungen im BDSG verändert. Dies gilt im Übrigen auch für die Bestellung von betrieblichen Datenschutzbeauftragten. Auch hierzu überlässt es der EU-Gesetzgeber den Ländern, Regelungen zu erlassen, zu streichen oder aufrechtzuerhalten.
Die EU DS-GVO zwingt Unternehmen und Unternehmer, umzudenken.
In praktischer Hinsicht ist hingegen wichtig, die bestehenden Betriebs- und Dienstvereinbarungen den neuen Anforderungen der EU DS-GVO anzupassen. Hier sollten sich Datenschützer, Compliance-Beauftragte, IT-Verantwortliche und Arbeitsrechtler zeitnah abstimmen.
Fazit
Die neuen gesetzlichen Bestimmungen sind nicht nur eine Herausforderung, sondern auch eine Chance für Unternehmen, ihre Prozesse und Abläufe im Hinblick auf den Umgang mit personenbezogenen Daten auf den Prüfstand zu stellen. Zugegeben: Die EU DS-GVO zwingt Unternehmen und Unternehmer, umzudenken. Datenschutz ist in Anbetracht von Big Data oftmals ein unliebsames Übel. Es ist aber auch Fakt, dass das Thema Datenschutz und Datensicherheit in Europa einen neuen Stellenwert einnehmen wird. Dieser Herausforderung müssen sich die Unternehmen stellen. Wer sich früh mit den Anforderungen befasst, wird jedoch feststellen, dass dies bis zum besagten Startdatum im Mai 2018 machbar ist.
Dies ist der zweite Teil einer dreiteiligen Reihe von Dr. Philipp Herrmann zum Thema Cloud & IT-Recht. Der erste Teil ist unter "Cloud – Rechtliche Anforderungen im Jahre "Null" nach Safe Harbor" erschienen, der dritte Teil unter "Cloud und das neue IT-Sicherheitsgesetz".
- Tagesspiegel, 21.03.2016: Warum Daten nicht das neue Öl sind
- Connected Solutions: Die Datenflut und was sie für Unternehmen bedeuten
- Informatik Aktuell: Andrea Held: Kilobyte, Megabyte, Gigabyte, Terabyte und Petabyte – Was kommt danach?