Ob verschärfte Wahrung von Betroffenenrechten oder massiv erhöhte Bußgelder – die EU-DSGVO bedeutet vor allem eines: viel Vorarbeit und Sorgfalt in punkto Implementierung. (Bild: Pixabay)
Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der Datenschutz-Grundverordnung (EU-DSGVO) verfolgte.
Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die EU-DSGVO über weite Strecken eins zu eins umsetzen. Die Vorteile eines klaren Bekenntnisses zur EU-DSGVO liegen auf der Hand: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutz-Ansatz.
Was sind die wesentlichen Kernpunkte der EU-DSGVO?
1. Der Accountability-Ansatz
Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Ansonsten drohen Bußgelder und möglicherweise Schadensersatzpflichten gegenüber Betroffenen. Mit der Einführung eines Datenschutzmanagementsystems ist die Nachweis-Pflicht professionell zu meistern, erhebliche Haftungsrisiken lassen sich gleich von Beginn an vermeiden. Außerdem spielt die Erfüllung der Rechenschafts- und Dokumentationspflicht bei Prüfungen durch die Aufsichtsbehörden oder Prüfdienstleister eine wichtige Rolle.
2. Verschärfte Bußgelder
Im Gegensatz zur bisherigen Rechtslage ist für die große Mehrheit der Vorschriften in der EU-DSGVO, die Pflichten für datenverarbeitende Stellen begründen, die Möglichkeit einer Geldbuße vorgesehen. Dazu kommt eine erhebliche Ausweitung des Bußgeldrahmens gegenüber dem bisherigen Maximalbetrag von 300.000 Euro: Bei Verstößen sind nun Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes möglich. Gehört das sanktionierte Unternehmen zu einer Unternehmensgruppe bzw. einem Konzern, ist bei der Bußgeldbemessung der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns maßgeblich.
3. Die Datenschutz-Folgenabschätzung
Das bisherige Instrument der „Vorabkontrolle“ weicht dem Konzept der Datenschutz-Folgenabschätzung (DSFA). Hier gilt: Gibt es bei einer geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der entsprechend betroffenen Personen, muss das Unternehmen eine DSFA vor Beginn der Datenverarbeitung vornehmen. Entgegen der Auffassung einiger Juristen ist die DSFA nicht nur für neue Verarbeitungsvorgänge relevant. Datenverarbeitenden Stellen wird daher geraten, eine Folgenabschätzung auch für bestehende Verarbeitungen durchzuführen, sofern ein „hohes Risiko“ besteht. Die durchgeführten Risikobewertungen müssen nachvollziehbar dokumentiert werden.
4. Privacy by Design und Privacy by Default
Datenschutz muss integraler Bestandteil der Entwicklung von Produkten, Diensten oder Anwendungen sein. Maximaler Datenschutz muss „serienmäßig“ sein und nicht mehr die Option, die der Betroffene aktiv anwählen muss. Wichtig ist, dass insbesondere die „Privacy by Design“-Anforderungen die verantwortlichen Stellen treffen und nicht die Hersteller von Produkten, Diensten und Anwendungen.
5. Die Löschpflichten
Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, müssen Unternehmen zukünftig weitere Schritte unternehmen. Im Rahmen des neuen „Rechts auf Vergessenwerden“ müssen Dritte, die veröffentlichte Daten verarbeiten, identifiziert und sodann über das Löschbegehren informiert werden. Jedes Unternehmen sollte für seine Datenverarbeitungsprozesse also ein klares Löschkonzept vorweisen können.
6. Technische und organisatorische Maßnahmen (TOMs)
Schwachstellen bei der technisch-organisatorischen Datensicherheit sind in der EU-DSGVO bußgeldbewehrt, und zwar mit bis zu zwei Prozent des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Darüber hinaus müssen die TOMs dem „Stand der Technik“ entsprechen und damit stärker als bisher technischen Innovationen Rechnung tragen. Nützliche Best-Practice-Hinweise gibt die TOM-Liste nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
7. Datenportabilität
Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben und auf Wunsch direkt an ein anderes Unternehmen übermitteln können.
8. Datenschutzbeauftragter
Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Darüber hinaus können künftig auch solche Unternehmen betroffen sein, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Die erweiterte Bestellpflicht kann beispielsweise ärztliche Gemeinschaftspraxen oder mit genetischen Analysen befasste Labors treffen, auch wenn diese unter der 10-Personen-Grenze liegen und daher bisher keinen Datenschutzbeauftragten benennen mussten.
9. Zertifizierung
Die EU-DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der EU-DSGVO vollumfänglich eingehalten werden. Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.
Wie Unternehmen diese Punkte am besten im eigenen Unternehmen umsetzen, erklären Tilman Dralle und Thomas Werner in der Oktober-Ausgabe der ke NEXT.
