DSGVO – und jetzt?

|  BTadvice 12/2018

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist im Mai 2016 in Kraft getreten. Die zweijährige Übergangsfrist endete am 25. Mai 2018. Die Aufsichtsbehörden haben klargestellt, dass es keine weitere Schonfrist geben wird. Dennoch sorgen fast 180 Tage nach Inkrafttreten die neuen EU-Datenschutz-Regeln immer noch für Unsicherheit.

Interpretation und Auslegung brauchen Zeit
Vieles in der DSGVO ist nicht neu und wird auch bereits im eher sogar noch komplexeren Bundesdatenschutzgesetz (BDSG) beschrieben. Die DSGVO ist dabei eher unspezifisch; das BDSG dagegen hat eher einen Bezug zur Informationstechnik. Daher sind viele Fragen rund um die DSGVO weiterhin offen.

Im Kern zwingt die DSGVO Unternehmen dazu, mit den Daten ihrer Kunden oder Nutzer wesentlich eingeschränkter umzugehen. Die Weitergabe persönlicher Daten wird erschwert. Die Unternehmen müssen dafür beispielsweise ihre Datenschutzerklärungen überarbeiten.

Vor allem auch mittelständische Unternehmen sind nach wie vor darüber sehr verunsichert, was nun genau zu tun ist. Viele haben deshalb ihre digitalen Aktivitäten zumindest mal eingeschränkt. Mitunter ist den Unternehmen unklar, was sie nun laut Verordnung ganz konkret leisten müssen und was nicht. Das größte Hemmnis scheint dabei die Dokumentations- und Nachweispflicht zu sein, die hohen zeitlichen Aufwand und damit bares Geld kostet.

Noch sind die Aufsichtsbehörden und Landesdatenschutzbeauftragten durch die zahlreichen Anfragen aufgrund der Rechtsunsicherheit zur DSGVO überlastet und gerade erst dabei ihr Personal aufzustocken. Allerdings werden mittlerweile gemeldete Datenschutz-Pannen und Beschwerden genau analysiert und entsprechende Rückschlüsse gezogen, welche Branchen am häufigsten betroffen sind. Beispielsweise werden Firmen im Bereich Auftragsdatenverarbeitung wie Rechenzentren (IT-Dienstleister und -Provider), Callcenter oder externe Lohnabrechnung mittlerweile bereits intensiver beobachtet als andere Branchen.
Anfang 2019 drohen dann die ersten Abmahnungen für Unternehmen, die bisher noch keine Datenschutzbeauftragten bei der Aufsichtsbehörde gemeldet haben.

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts. Es gibt jedoch einige Grundsätze, die man kennen sollte. 

Verbot mit Erlaubnisvorbehalt und Einwilligungen einholen
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten - es sei denn, es liegt eine Erlaubnis und Einwilligung der betroffenen Person vor. Einwilligungen der Nutzer spielen für Händler und Unternehmer eine große Rolle - beispielsweise zur Newsletter-Versendung.

Datensparsamkeit, Zweckbindung und Datenrichtigkeit
Unternehmen dürfen nur so viele personenbezogenen Daten erheben und verarbeiten, wie Sie tatsächlich benötigen. Daten dürfen nur zu dem Zweck verarbeitet werden, für die sie erhoben wurden. Alle Daten müssen inhaltlich und sachlich richtig und auf dem neuesten Stand sein. 

Recht auf Vergessen werden (Recht auf Löschung)
Das Recht auf Vergessen ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr angezeigt werden. Das Recht auf Vergessen werden ist also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

Wie Umfragen und Untersuchungen  der Bitkom (Branchenverband der deutschen Informations- und Telekommunikationsbranche) zeigen, sind zahlreiche Firmen nicht DSGVO-konform. Viele Unternehmen hätten sich zeitlich „klar verschätzt“, die Verordnung umzusetzen. Für andere sei die komplette Umsetzung wohl kein zeitliches Problem, aber „ein Ideal, das gar nicht zu erreichen ist“. Vielen sei im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz hätten. Ein Teil des Problems ist hier allerdings, dass die DSGVO kein Einzelziel ist, das es zu erreichen gilt. Vielmehr sollte die DSGVO als ein Katalog laufender Anforderungen an die Handhabung, Verwaltung und Speicherung von Daten im gesamten Unternehmen verstanden werden.

Die größten Schwierigkeiten haben Unternehmen, das geforderte Verfahrensverzeichnis zu erstellen. Nach der Bitkom Umfrage haben dies bisher nur 14 Prozent der befragten Unternehmen erledigt. Dabei sind im Verfahrensverzeichnis alle Verarbeitungstätigkeiten im Unternehmen erfasst, die personenbezogene Daten verarbeiten. Also einfach gesagt: das Verfahrensverzeichnis zeigt, wo die eigenen Mitarbeiter mit personenbezogenen Daten in Kontakt kommen - beispielsweise bei der Lohnabrechnung, der Mitarbeiterverwaltung oder Telefon-Einzelverbindungsnachweisen. Handelt es sich bei den Kunden um Endverbraucher, wurden wahrscheinlich deren Adressen, E-Mail-Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr gespeichert. Im Verfahrensverzeichnis sind alle „Verfahren“ aufzulisten, bei denen diese Daten erfasst oder verarbeitet werden. 

Jedes Unternehmen ist dazu verpflichtet ein solches Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Ab 250 Mitarbeitern in einem Unternehmen muss jedoch (gemäß Abs. 5) zwingend ein Verfahrensverzeichnis erstellt werden.

Analyse aller datenschutzrelevanten Prozesse
Zusammenfassend ist also festzuhalten, dass Unternehmen sämtliche datenschutzrelevanten Vorgänge genau analysieren sollten. Welche personenbezogenen Daten werden wie, wann und warum verarbeitet? Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch? Bedeutsam wird in diesem Zusammenhang auch die datenschutzkonforme Vertragsgestaltung mit klaren Vereinbarungen mit allen Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen). 

Die unternehmensinterne Dokumentation und alle sonstigen datenschutzrelevanten Prozesse sollten gemäß eines entsprechenden Compliance-Managements angepasst werden. Gleichsam sind zahlreiche neue Pflichten, wie z. B. Unterrichtungs- und Löschungspflichten zu beachten und alle relevanten Mitarbeiter über ihre neuen Pflichten entsprechend zu belehren.

Autorenkontakt: carsten.schinschel@bakertilly.de