EU-DSGVO: die Kernpunkte auf einen BlickStrategischer Ansatz ist gefordert
8. Juni 2017In nicht einmal mehr zwölf Monaten wird die EU-Datenschutzgrundverordnung die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten verdrängen. Welche Pflichten bringt die Verordnung für Unternehmen, welche Auflagen verschärfen sich? Tilman Dralle und Thomas Werner, beide Juristen und Experten für Datenschutzmanagement bei TÜV Rheinland, erläutern die wichtigsten Punkte und geben eine Strategieempfehlung.
Europäische Harmonisierung
Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der Datenschutzgrundverordnung (DSGVO) verfolgte. Doch die erwünschte EU-weite Vereinheitlichung des Datenschutzrechts wurde nicht in allen Punkten konsequent umgesetzt.
Denn die neue DSGVO beinhaltet rund 60 sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen. In Deutschland wird das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU) pünktlich zum 25. Mai 2018 – also dem DSGVO-Stichtag – in Kraft treten und das bisherige Bundesdatenschutzgesetz durch ein vollständig reformiertes „BDSG 2018“ ersetzen.
Inwieweit kann das „BDSG 2018“ datenschutzrechtliche Verpflichtungen aus der DSGVO relativieren und somit den Ressourcen- und Kostenaufwand für deutsche Unternehmen senken? Das ist leider nicht eindeutig zu beantworten. Fest steht aber: Den „einfacheren deutschen Weg“ gibt es in der Form nicht. Großen Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Die Vorteile: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutz-Ansatz.
Die Kernpunkte
Der Accountability-Ansatz: Jede verantwortliche Stelle, also zum Beispiel ein Unternehmen, muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Das bedeutet einen erheblich gestiegenen Dokumentationsaufwand im Vergleich zum bisherigen Bundesdatenschutzgesetz. Erfolgt der Nachweis nicht, müssen Unternehmen mit Bußgeldern rechnen und erhöhen gleichzeitig das Risiko, sich gegenüber Betroffenen schadensersatzpflichtig zu machen.
Verschärfte Bußgelder: Mit der DSGVO sinkt die Schwelle zur Bußgeldpflicht, weil im Vergleich zum BDSG die Anzahl bußgeldbewehrter Pflichten steigt. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens gegenüber dem bisherigen Maximalbetrag von 300.000 Euro: Bei Verstößen sind nun Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes möglich. Wenn das sanktionierte Unternehmen zu einer Unternehmensgruppe bzw. einem Konzern gehört, ist bei der Bußgeldbemessung der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns maßgeblich.
Die Datenschutz-Folgenabschätzung (DSFA): Das bisherige Instrument der „Vorabkontrolle“ weicht dem Konzept der Datenschutz-Folgenabschätzung. Hier gilt: Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen. Die DSFA umfasst u.a. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, eine Bewertung der damit verbundenen Risiken aus Sicht der Betroffenen sowie die Planung von Abhilfemaßnahmen zur Eindämmung der Risiken auf ein akzeptables Niveau. Wann genau eine DSFA durchgeführt werden muss, ist noch nicht abschließend geklärt. Auch der Einsatz risikoträchtiger Technik könnte eine entsprechende Pflicht nach sich ziehen.
Privacy by Design und Privacy by Default: Ob Produkte, Dienste oder Anwendungen: Datenschutz muss integraler Bestandteil der Entwicklung sein. Das heißt, die Datenschutzgrundsätze wie insbesondere die Datenminimierung müssen schon in der Systementwicklung angemessen berücksichtigt bzw. umgesetzt werden. Und: „Maximaler“ Datenschutz muss die „serienmäßige“ Grundeinstellung sein und nicht mehr die Option, die der Betroffene aktiv anwählen muss. Wichtig ist, dass insbesondere die „Privacy by Design“-Anforderungen die verantwortlichen Stelle treffen und nicht die Hersteller von Produkten, Diensten und Anwendungen. Hier müssen die datenverarbeitenden Unternehmen frühzeitig Druck auf Hersteller ausüben, um ab dem 25.5.2018 DSGVO-konforme Technik im Einsatz zu haben.
Die Löschpflichten: Das sichere und vollständige Löschen von personenbezogenen Daten ist noch umfassender geregelt. Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, beispielsweise wenn sie zur Zweckerreichung nicht mehr erforderlich sind, müssen Unternehmen zukünftig weitere Schritte unternehmen, um dem „Recht auf Vergessenwerden“ im Zeitalter des Internets stärkere Geltung zu verschaffen. So müssen sie, falls sie die Daten öffentlich gemacht haben, angemessene Maßnahmen ergreifen, um andere Unternehmen, die die Daten verarbeiten, zu identifizieren und sodann über das Löschbegehren zu informieren.
Datenverarbeitung im Auftrag: Die Grundkonzeption der Auftragsdatenverarbeitung bleibt auch unter der DSGVO gleich. Nichtsdestotrotz gilt es, einige wichtige Änderungen zu beachten. So werden Auftragsverarbeiter erstmals für Datenschutzverstöße mit in die Haftung genommen. Während nach dem alten BDSG das Recht auf Schadensersatz ausschließlich der verantwortlichen Stelle gegenüber geltend gemacht werden konnte, normiert die DSGVO eine gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers. Des Weiteren müssen Auftragsverarbeiter zukünftig ein Verzeichnis über im Auftrag unternommene Verarbeitungstätigkeiten führen.
Technische und organisatorische Maßnahmen (TOMs): Schwachstellen bei der technisch-organisatorischen Datensicherheit wie etwa veraltete Verschlüsselungsstandards sind im Rahmen der DSGVO bußgeldbewehrt, und zwar mit bis zu 2% des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung nicht zu unterschätzen. Darüber hinaus müssen die TOMs dem „Stand der Technik“ entsprechen, damit stärker als bisher technischen Innovationen Rechnung tragen und auf Grundlage einer das Persönlichkeitsrecht von Betroffenen in den Mittelpunkt stellenden Risikobewertung ausgewählt werden. Last but not least muss in Zukunft neben der Erreichung der Schutzziele „Integrität, Vertraulichkeit & Verfügbarkeit“ auch die Belastbarkeit (resilience) der Systeme und Dienste sichergestellt werden. Dazu zählen etwa Notfallpläne oder ausreichend Kapazität für Belastungsspitzen der IT-Ressourcen bei Cyber-Angriffen wie DDoS-Attacken.
Datenportabilität: Das Recht auf Datenportabilität bzw. Datenübertragbarkeit ist ein weiteres Instrument, das betroffene Personen in die Lage versetzen soll, mit ihren Daten selbstbestimmt umzugehen. Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben. Darüber hinaus haben sie die Pflicht, bei technischer Realisierbarkeit die Daten auf Wunsch direkt an ein anderes Unternehmen zu übermitteln. Für die Übergabe und Übermittlung der Daten darf kein Entgelt erhoben werden.
Datenschutzbeauftragter: Auf den ersten Blick ändert sich in punkto Bestellpflicht wenig: Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Dies ergibt sich aus der DSGVO in Verbindung mit dem BDSG 2018. Allerdings sieht die DSGVO auch eine Bestellpflicht für Unternehmen vor, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten besteht. Hierzu gehören u.a. Gesundheitsdaten sowie Daten zur Religionszugehörigkeit oder sexuellen Orientierung.
Zertifizierung: Die DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der DSGVO vollumfänglich eingehalten werden. Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern. Außerdem dürften die Kosten für Überwachungsaudits bei Auftragsverarbeitern durch eine vorliegende Zertifizierung stark sinken.
„Last Minute“ zur DSGVO
Unternehmen, die noch nicht mit den Vorbereitungen begonnen haben, stehen vor der Herausforderung, die umfangreichen Anforderungen der DSGVO in einem recht engen Zeitfenster bewältigen zu müssen. Einer der wichtigsten Schritte: zunächst alle relevanten Stakeholder über die wichtigsten Aspekte der DSGVO ausreichend informieren, damit sich alle auf die mit der DSGVO verbundenen Herausforderungen einstellen können.
Im nächsten Schritt: eine Gap-Analyse durchführen. Diese umfasst zunächst die Dokumentation des Ist-Zustandes: Wie haben wir den Datenschutz bisher gehandhabt? Im Anschluss daran ist der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich zu bestimmen. Dazu sollte ein möglichst differenziertes Verständnis der neuen gesetzlichen Anforderungen vorliegen. Eine sinnvolle Vorgehensweise ist es, in einer Gap-Analyse die „Findings“ risikobasiert zu priorisieren. Bestimmte Gaps sollten nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angegangen werden.
Angesichts der kurzen Zeitspanne bis zum Stichtag 25. Mai 2018 sollten Unternehmen, die die Unterstützung fachkundiger Dritter suchen, dies zeitnah angehen, denn die Zahl der verfügbaren Berater ist endlich. Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat.
Tilman Dralle und Thomas Werner
sind beide Juristen und Experten für Datenschutzmanagement beim TÜV Rheinland.