Über unsMediaKontaktImpressum
Tilman Dralle & Thomas Werner 11. Juli 2017

EU-DSGVO: Brüssel zieht die Datenschutz-Zügel für Unternehmen weiter an

Ab dem 25. Mai 2018 gilt die DSGVO und das BDSG in Deutschland ab. © rcfotostock / Fotolia.com
© rcfotostock / Fotolia.com

Effektiven Datenschutz begreifen viele Unternehmen bereits als Wettbewerbsvorteil, für andere ist die Umsetzung eine ungeliebte Pflicht. Eine Pflicht, die sie auf möglichst pragmatische und wirtschaftliche Weise erfüllen möchten, um sich gerade noch vor Rechtsfehlern und deren Folgen zu schützen. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO), die am 25. Mai 2018 – also in weniger als einem Jahr – in Kraft tritt, stellt sich für viele die Frage: Wann genau ist die Schwelle zu einem bußgeldpflichtigen Verstoß überschritten? Tilman Dralle und Thomas Werner, beide Juristen und Experten für Datenschutzmanagement bei TÜV Rheinland, erläutern die wichtigsten Änderungen, auf die sich Unternehmen einstellen müssen. 

Ein Gesetz geht, zwei neue kommen: Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO) – und löst in Verbindung mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz-EU (DSAnpUG-EU) das bisherige Bundesdatenschutzgesetz (BDSG) in Deutschland ab. Einerseits ist die EU-weite Vereinheitlichung des Datenschutzes auch aus Sicht der Wirtschaft nachdrücklich zu begrüßen, andererseits stellen die deutlich erweiterten Pflichten in Kombination mit abschreckenden Bußgeldern eine große Herausforderung für deutsche Unternehmen dar. Eine Herausforderung, die die verantwortlichen Entscheider innerhalb der nächsten elf Monate bewältigen müssen.

EU-DSGVO und BDSG 2018 – Begrifflichkeiten und Hintergründe

Die neue EU-DSGVO beinhaltet rund 60 sogenannte "Öffnungsklauseln", die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen. Diese Möglichkeit hat Deutschland genutzt: mit dem DSAnpUG-EU, das das derzeit noch gültige BDSG durch ein vollständig reformiertes "Bundesdatenschutzgesetz 2018" ersetzen wird. Das BDSG 2018 enthält zahlreiche Bestimmungen, die die DSGVO ergänzen, konkretisieren bzw. modifizieren. Alle datenverarbeitenden Unternehmen in Deutschland sollten sich eingehend mit den neuen Regelungen auseinandersetzen. Insbesondere die Reichweite der komplexen Ausnahmetatbestände sollten sie gewissenhaft und im Zweifel mit Hilfe externer Sachverständiger prüfen. Nach der DSGVO verstößt ein Unternehmen auch dann gegen die Verordnung, wenn es nationale Anpassungs- bzw. Umsetzungsregelungen verletzt, die auf der Grundlage von Öffnungsklauseln erlassen wurden.

Insbesondere Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist zu raten, die DSGVO über weite Strecken eins zu eins umzusetzen. Die Vorteile: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geographisch fragmentierter Datenschutz-Ansatz. Nichtsdestotrotz entscheidet am Ende der Einzelfall, ob und in welchem Ausmaß eine Nutzung von Ausnahmetatbeständen im BDSG 2018 unternehmerisch sinnvoll ist. Dies gilt sowohl für Konzerne als auch für kleinere und mittlere Unternehmen.

Für eine zuverlässige Vorhersage über die Auslegung und Anwendung der DSGVO durch Aufsichtsbehörden und Gerichte kann es zu diesem Zeitpunkt noch keine Erfahrungswerte geben. Auch in der noch recht spärlichen Literatur werden unterschiedliche Meinungen vertreten. Unklar ist beispielsweise die Reichweite des "Rechts auf Vergessenwerden" sowie des Rechts auf Datenportabilität. Dennoch müssen Organisationen trotz dieser Rechtsunsicherheit bereits jetzt handeln. Welche Punkte der EU-DSGVO sollten Unternehmen also im Fokus haben?

Der Accountability-Ansatz:

  • Im Vergleich zum bisherigen Bundesdatenschutzgesetz steigt der Dokumentationsaufwand für Unternehmen erheblich. Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Diese Nachweispflicht ist für mittlere und große Unternehmen nur mit einem Datenschutzmanagementsystem erfüllbar.
  • Die Rechenschafts- und Dokumentationspflicht spielt insbesondere bei Prüfungen durch die Aufsichtsbehörden oder Prüfdienstleister sowie bei der Vermeidung von Haftungsrisiken eine wichtige Rolle.

Der neue Bußgeldrahmen:

  • Datenschutzverstöße und -pannen werden erheblich teurer. Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes sind möglich.
  • Wichtig: Die DSGVO enthält einen Katalog von Kriterien, die einen Einfluss auf die Bußgeldverhängung und -bemessung haben. Hierzu gehören u. a. frühere Verstöße, getroffene technisch-organisatorische Maßnahmen, Zusammenarbeit mit den Aufsichtsbehörden und eine Datenschutz-Zertifizierung.
  • Unternehmen sollten diese Kriterien berücksichtigen, um Bußgeldrisiken so weit wie möglich zu minimieren.

Die Datenschutz-Folgenabschätzung (DSFA):

  • Das bisherige Instrument der "Vorabkontrolle" weicht dem Konzept der Datenschutz-Folgenabschätzung. Beinhaltet eine geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen vor Beginn der Datenverarbeitung eine DSFA vornehmen.
  • Entgegen der Auffassung einiger Juristen ist die DSFA nicht nur für neue Verarbeitungsvorgänge relevant. Datenverarbeitenden Stellen ist zu raten, eine Folgenabschätzung auch für bestehende Verarbeitungen durchzuführen, sofern ein "hohes Risiko" besteht. Die durchgeführten Risikobewertungen müssen nachvollziehbar dokumentiert werden.

Privacy by Design und Privacy by Default:

  • Datenschutz muss integraler Bestandteil der Entwicklung sein, sowohl bei Produkten, Diensten als auch Anwendungen (Datenschutz durch Technikgestaltung). Und: Maximaler Datenschutz muss die "serienmäßige" Grundeinstellung sein und nicht mehr nur eine Option, die der Betroffene aktiv anzuwählen hat (Datenschutz durch datenschutzfreundliche Voreinstellungen).
  • Wichtig: Insbesondere die "Privacy by Design"-Anforderungen treffen die verantwortliche Stelle – also das Unternehmen –, und nicht die Hersteller von Produkten, Diensten und Anwendungen. Hier müssen die datenverarbeitenden Unternehmen frühzeitig Druck auf diese Hersteller ausüben, um ab dem 25.5.2018 DSGVO-konforme Technik im Einsatz zu haben.
  • Die frühzeitige Berücksichtigung der Anforderungen vermeidet in jedem Fall spätere Abweichungen von den gesetzlichen Vorgaben und verringert somit Haftungs- und Bußgeldrisiken.

Die Löschpflichten:

  • Sind jetzt noch umfassender geregelt als im Bundesdatenschutzgesetz. Jedes Unternehmen sollte für seine Datenverarbeitungsprozesse ein klares Löschkonzept vorweisen können.
  • Wie genau das neue "Recht auf Vergessenwerden" in der Praxis umgesetzt werden soll, ist bislang noch weitgehend unklar.
  • Allen Unternehmen, die regelmäßig personenbezogene Daten öffentlich machen, wird empfohlen, die aktuellen Entwicklungen zum "Recht auf Vergessenwerden" aufmerksam zu verfolgen. Dies betrifft insbesondere die Stellungnahmen des Europäischen Datenschutzausschusses.

Die Bedeutung der technisch-organisatorischen Maßnahmen (TOMs):

  • Schwachstellen in der technisch-organisatorischen Datensicherheit wie etwa veraltete Verschlüsselungsstandards können mit Bußgeldern in Höhe von bis zu 2 Prozent des Vorjahresumsatzes belegt werden.
  • Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Nützliche Best-Practice-Hinweise gibt die TOM-Liste nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
  • Wichtig sind beispielsweise Notfallpläne im Rahmen des Business-Continuity-Managements (BCM), Identity-and-Access-Managements (IAM), Rollenberechtigungen nach dem "Need to know"-Prinzip, aktuelle Verschlüsselungsverfahren sowie eine hochverfügbare Speicherung von Daten.

Das Prinzip der Datenportabilität:

  • Der DSGVO zufolge müssen Unternehmen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format entweder an den User oder gleich an ein anderes Unternehmen übergeben können.
  • Die genaue Reichweite des Rechts auf Datenportabilität (Stichwort: interoperable Formate) kann noch nicht abschließend bewertet werden.
  • Klar ist allerdings schon jetzt, dass es nicht nur für große Internet-Konzerne, sondern auch für mittelständische Unternehmen von hoher Relevanz ist.

Der Datenschutzbeauftragte:

  • Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Datenverarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen.
  • Wichtige Neuerung: Bei einer umfangreichen Verarbeitung besonders sensitiver personenbezogener Daten greift die Bestellpflicht auch dann, wenn das entsprechende Unternehmen unter der 10-Personen-Grenze liegt und bislang keinen Datenschutzbeauftragten benennen musste. Dies könnte insbesondere ärztliche Gemeinschaftspraxen oder mit genetischen Analysen befasste Labors treffen.
  • Hier gilt es, die weiteren Entwicklungen speziell auf Seiten der Aufsichtsbehörden genau zu verfolgen.

Die DSGVO-Zertifizierung:

  • Das neue, gesetzlich normierte Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der DSGVO vollumfänglich eingehalten werden.
  • Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u. a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.
  • Darüber hinaus hat sie zweifelsohne großes Potenzial als wettbewerbsdifferenzierendes Element. Unternehmen, für die die Verarbeitung personenbezogener Daten Teil ihres Kerngeschäftes ist, kann geraten werden, Datenschutz als Wettbewerbsvorteil zu begreifen und die Vorteile und Kosten einer Zertifizierung sorgsam abzuwägen.
IT-Tage 2017 - Datenschutz

Umsetzung in Angriff nehmen

Eine perfekte Umsetzung der EU-DSGVO wird am 25. Mai 2018 von niemandem erwartet. Wichtig ist allerdings, dass Unternehmen nachweisen können, sich bereits eingehend mit der Thematik befasst zu haben. Unternehmen, die die Umsetzung der DSGVO mit externer Unterstützung in Angriff nehmen wollen, sollten bei der Auswahl der Berater darauf achten, dass diese nicht nur über juristische Expertise verfügen, sondern auch über Erfahrung in der Umsetzung von Managementsystemen sowie ein umfassendes Verständnis informationssicherheits-technologischer Zusammenhänge. Und: Sie sollten bald handeln, denn viele Berater sind bereits verplant.

nach Oben
Autoren

Tilman Dralle

Tilman M. Dralle ist als Berater im Bereich des Datenschutzes und der Informationssicherheit bei der TÜV Rheinland i-sec GmbH tätig.
>> Weiterlesen

Thomas Werner

Thomas Werner berät Banken und Konzerne bei der Umstellung vom Bundesdatenschutzgesetz auf die EU-Datenschutzgrundverordnung.
>> Weiterlesen
botMessage_toctoc_comments_929