EU-Datenschutzgrundverordnung –Unternehmen müssen jetzt handeln

Die ab Mai 2018 in sämtlichen EU-Mitgliedstaaten unmittelbar und einheitlich geltende EU-Datenschutzgrundverordnung (DSGVO) wird die bestehende Rechtslage rund um Datenschutz und -sicherheit erheblich verschärfen und stellt Unternehmen vor große strukturelle und organisatorische Herausforderungen. Der unternehmensinterne Prozess zur Bewältigung des künftigen Pflichtenniveaus ist umfangreich und langwierig.

Überblick

Die EU hat am 27. April 2016 den Beschluss zur Datenschutzgrundverordnung gefasst. Die Datenschutzgrundverordnung wird ab dem 25. Mai 2018 gelten.

Die Datenschutzgrundverordnung ist das umfangreichste und wichtigste Gesetzesvorhaben der EU in den letzten Jahren. Die Verordnung schafft ein einheitliches Datenschutzrecht innerhalb der gesamten EU. Sie gilt unmittelbar in allen Mitgliedsstaaten, sie hat den Vorrang vor nationalem Recht. Für Unternehmen hat es große Vorteile, dass das Datenschutzrecht innerhalb der EU vereinheitlich wird. In Zukunft ist es nicht mehr nötig, die Rechtslage in sämtlichen EU-Mitgliedsstaaten gesondert zu prüfen.

Hohe Bußgelder bis zu 20 Mio. EUR

Die wichtigste Änderung der Datenschutzgrundverordnung ist die Höhe des Bußgeldes. Bisher beträgt das maximale Bußgeld für Datenschutzverstöße 50.000 EUR, in Ausnahmefällen 300.000 EUR. Bußgelder werden im Datenschutzrecht bisher selten verhängt und sind meist nicht hoch. Dies wird sich in Zukunft dramatisch ändern. Das maximale Bußgeld wird künftig 20 Mio. EUR betragen bzw. 4 % des weltweiten Unternehmensumsatzes, je nachdem welcher Betrag höher ist. Nach Ansicht des EU-Gesetzgebers ist das Datenschutzrecht genauso wichtig wie das Kartellrecht. Er will dafür sorgen, dass die Bußgelder künftig die gleiche Höhe erreichen.

Für Unternehmen ist das in zweifacher Hinsicht relevant. Ein Geschäftsführer darf sein Unternehmen keinem Bußgeldrisiko in dieser Höhe aussetzen. Er muss vielmehr sicherstellen, dass die rechtlichen Vorgaben eingehalten werden und es nicht zu Verstößen kommt. Andernfalls haftet der Geschäftsführer persönlich mit seinem privaten Vermögen.

Datenschutzbehörden werden nicht ab Juni 2018 für jeden leichten Verstoß ein Bußgeld in Millionenhöhe verhängen. Die Bußgelder werden aber dramatisch erhöht. Beträgt der Bußgeldrahmen heute in den meisten Fällen maximal 50.000 EUR, so kann beispielsweise ein Bußgeld von 10.000 EUR (20 % des maximalen Rahmens) angemessen sein, um auch mittlere Verstöße zu ahnden. Beträgt der Bußgeldrahmen aber künftig 20 Mio. EUR, so ist auch das einzelne Bußgeld höher anzusetzen.

Strenge Dokumentationspflichten

Ein weiterer wichtiger Gesichtspunkt ist der Grundsatz der Rechenschaftspflicht („Accountability“). Die Datenschutzgrundverordnung legt dem Unternehmen die Pflicht auf nachzuweisen, dass das Unternehmen die Grundsätze des Datenschutzes einhält (Artikel 5 DSGVO). Das bedeutet, jedes Unternehmen muss in Zukunft über eine aussagekräftige Dokumentation der Datenverarbeitung verfügen. Nur mit Hilfe dieser Dokumentation kann es gelingen, den Nachweis zu erbringen, dass das Unternehmen das Datenschutzrecht einhält.

Schon nach bisherigem Recht sind Unternehmen verpflichtet, ein Verfahrensverzeichnis über die gesamte Datenverarbeitung im Unternehmen zu führen. Verstöße gegen diese Verpflichtung können aber künftig mit Bußgeldern bis zu 10 Mio. EUR geahndet werden. In dieses Verarbeitungsverzeichnis nach Artikel 30 DSGVO müssen die Zwecke der Verarbeitung, die Kategorien betroffener Personen personenbezogener Daten und Empfänger einer eventuellen Übermittlung aufgenommen werden, vor allem auch die Übermittlungen in ein Drittland. Auch die Löschfristen sollen dort genannt werden.

Erweiterte Betroffenenrechte: Informieren, Löschen, etc.

Die Datenschutzgrundverordnung erweitert die Rechte der Betroffenen, d. h. der Personen, deren Daten verarbeitet werden. Schon nach bisherigem Recht gibt es eine ganze Reihe von Betroffenenrechten. Diese Rechte werden ausgedehnt, vor allem werden Verstöße gegen Betroffenenrechte künftig mit Bußgeldern bis zu 20 Mio. EUR geahndet.

Unternehmen müssen bereits dann, wenn sie Daten beim Betroffenen oder Dritten erheben, den Betroffenen informieren. Diese Informationspflicht erstreckt sich zum einen auf die Kategorien der erhobenen Daten, zum anderen auf die Rechtsgrundlage der Erhebung, die geplante Übermittlung an Dritte und die Dauer der Speicherung. Um die Informationspflicht zu erfüllen, muss ein Unternehmen sich zunächst einmal einen Überblick verschaffen, bei welchen Prozessen überhaupt Daten erhoben werden. Dann muss ein Prozess eingeführt werden, um sicher zu stellen, dass bei jeder Erhebung die notwendigen Informationen erteilt werden.

Ein weiteres Betroffenenrecht ist das Recht auf Auskunft. Dieses Recht besteht auch schon nach dem Bundesdatenschutzgesetz, es wird von Betroffenen auch zunehmend genutzt. In Vorbereitung auf die Datenschutzgrundverordnung müssen Unternehmen festlegen, wer intern die Auskunft erteilt. Sie müssen eine vollständige Übersicht über sämtliche gespeicherten Daten haben, was technisch aufwendig ist. Außerdem sollten Unternehmen bereits jetzt Formulare für die Auskünfte erstellen, um sicherzustellen, dass alle notwendigen Informationen erteilt werden.

Wenn sich der Zweck einer Datenverarbeitung erledigt hat, so hat das Unternehmen die Daten zu löschen, gleiches gilt bei Widerruf einer Einwilligung oder bei einem Widerspruch gegen weitere Verarbeitung. Sofern eine Rechtspflicht zur weiteren Speicherung besteht, beispielsweise auf Grund von Buchführungsvorschriften, werden die Daten nicht gelöscht, sondern gesperrt, d. h. eine weitere Verwendung wird ausgeschlossen.

Das bedeutet, Unternehmen müssen bis Mai 2018 ein Löschkonzept entwickeln und unternehmensintern umsetzen, damit Lösch- und Aufbewahrungspflichten in gleichem Maße erfüllt werden. Löschkonzepte sind schwierig zu entwickeln. Die Rechtsvorschriften sind nicht aufeinander abgestimmt, die zuständigen Behörden haben häufig unterschiedliche Vorstellungen: Datenschutzbehörden bejahen häufig eine Löschpflicht, während andere Behörden, wie die BaFin oder Zollbehörden, aus Gründen der Compliance eine Speicherung verlangen.

Zu diesen Betroffenenrechten kommen noch weitere Rechte wie das sogenannte Recht auf Vergessenwerden oder das Recht auf Datenportabilität, wonach der Betroffene eine vollständige Herausgabe oder Übertragung seiner Daten an ein drittes Unternehmen verlangen kann.

Für Unternehmen ist es schwierig, die internen Prozesse zu entwickeln und umzusetzen, um die Betroffenenrechte einzuhalten. Dies ist ein Grund, warum der EU-Gesetzgeber Unternehmen eine zweijährige Übergangsfrist eingeräumt hat.

Datensicherheit wird wichtiger

Ein weiterer Bereich, der nach der Datenschutzgrundverordnung eine erhöhte Bedeutung bekommt, ist die der Datensicherheit. Schon nach bisherigem Recht sind Unternehmen verpflichtet, ein Datensicherheitskonzept zu erstellen. Tun sie dies nicht oder hat dieses Konzept Mängel, so hat dies zunächst erst einmal keine Konsequenzen, da die Rechtspflicht nicht mit einem Bußgeld bedroht ist. Das ändert sich in Zukunft. Fehlende oder mangelnde Datensicherheitskonzepte werden mit Bußgeldern bis zu 10 Mio. EUR geahndet. In Zukunft muss nicht mehr die Datenschutzbehörde beweisen, dass das Unternehmen gegen Sicherheitsvorschriften verstößt.

In Zukunft muss das Unternehmen nachweisen, dass es die geeigneten technischen und organisatorischen Maßnahmen zur Datensicherheit ergriffen und umgesetzt hat. Diese Rechtspflichten hat der Gesetzgeber noch dadurch verschärft, dass er den Betroffenen leichter Schadensersatz zusprechen will, wenn es zu Datenverlusten kommt. Dafür sieht die DSGVO eine Beweislastumkehr vor und bestimmt, dass auch immaterielle Schäden, d. h. Nichtvermögensschäden wie Identitätsdiebstahl, Rufschäden, u. a. auszugleichen sind.

Umsetzungsprojekt zügig beginnen

Es gibt noch zahlreiche weitere Punkte, bei denen sich die Rechtslage verschärft hat. Die Datenschutzgrundverordnung lässt sich im Unternehmen nicht durch einige wenige Maßnahmen umsetzen, sondern die Umsetzung ist ein Projekt, das sorgfältig geplant werden muss.

Dazu muss das Unternehmen muss eine Projektgruppe einsetzen, in der alle beteiligten Stellen, wie Datenschutzbeauftragter, Rechtsabteilung, Human Resources, IT, u. a. vertreten sind. In einem ersten Schritt werden die verschiedenen Gebiete wie Verarbeitung von Kundendaten, Beschäftigtendatenverarbeitung, Übermittlung innerhalb eines Konzerns, Dienstleister oder an außenstehende Dritte analysiert. Anschließend wird festgelegt, in welchen Bereichen Umsetzungsbedarf besteht. In den nächsten Schritten werden die notwendigen Maßnahmen umgesetzt. Der verbleibende Zeitraum für Bestandsaufnahme und Umsetzung bis Mai 2018 ist kurz, der Aufwand ist erheblich. Angesichts der hohen Bußgelder und der verschärften Dokumentations- und Nachweispflichten, kommt aber kein Unternehmen hieran vorbei.

Arnd Böken, Rechtsanwalt und Notar
Berlin