EU-Datenschutz-Grundverordnung

Unternehmen läuft die Zeit davon

Von Elke von Rekowski · 2017

EU-Datenschutz-Grundverordnung. Ein Ordner mit der Aufschrift

Der Countdown zur Umsetzung der EU-Datenschutz-Grundverordnung läuft. Stichtag ist der 25. Mai 2018. Unternehmen müssen sich deshalb schon 2017 sputen, um den gesetzlichen Vorgaben zu genügen. Ansonsten drohen Bußgelder, die im zweistelligen Millionenbereich liegen können sowie Haftstrafen.

Die Übergangsfrist der Datenschutz-Grundverordnung (DSVGO) rast ihrem Ende zu. Ab dem 25. Mai 2018 wird es ernst für die Unternehmen. An diesem Tag wird die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Bereits 2016 hatten sich Europäischer Rat, Europäisches Parlament und Europäische Kommission über den endgültigen Inhalt der neuen DSGVO geeinigt. Sie nimmt Unternehmen deutlicher stärker in die Pflicht als vorherige Datenschutzbestimmungen und zieht die Zügel auch bei Sanktionen wesentlich strammer an: Bisher lag die Höhe des Bußgeldes bei Verstößen gegen Datenschutzbestimmungen bei 50.000 bis 300.000 Euro, ab dem Stichtag im kommenden Frühling drohen Geldstrafen von bis zu 20 Millionen Euro beziehungsweise zwei bis vier Prozent des Vorjahresumsatzes.

Diese Umsatzklausel kann --vor allem für international aktive Konzerne -- verheerende finanzielle Folgen haben. Da der Gesetzgeber einen Konzern als Einheit betrachtet, können als Bußgeld-Berechnungsgrundlage der weltweite Gesamtumsatz herangezogen werden, selbst wenn eine kleine Tochterfirma gegen die DSVO verstoßen hat. Können die Aufsichtsbehörden einem Unternehmen gar die Absicht nachweisen, sich durch die Umgehung gesetzlicher Datenschutzbestimmungen zu bereichern oder andere zu schädigen, müssen die Verantwortlichen auch mit Freiheitsstrafen rechnen.

Im internationalen Handel schafft die DSVGO quasi gleiches Recht für Alle: auch ausländische Firmen müssen den Datenschutzvorgaben entsprechen, sobald sie Waren und Dienstleistungen in der EU anbieten oder die Daten europäischer Bürger verarbeiten.

Quelle: Bitkom, 2017

Echte Verantwortung für Datenschutzbeauftragte 

Mit dem Inkrafttreten der DSVGO besteht eine europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten. Diesen müssen Unternehmen, Behörden oder öffentliche Einrichtungen ausweisen, wenn die Verarbeitung personenbezogener Daten zu ihren Kerntätigkeiten gehört (beispielsweise Krankenkassen, Banken, Versicherungen) die Art der verwendeten Daten eine regelmäßige und systematische Überwachung erfordert oder mindestens zehn Personen regelmäßig (beispielsweise im Kundendienst) personenbezogene Daten verarbeiten.

Reichte es früher, auf die Einhaltung nationaler, gesetzlicher Bestimmungen hinzuwirken, muss ein Datenschutzbeauftragter nun tatsächlich überwachen, dass das Unternehmen alle Vorgaben der DSGVO einhält, seine eigenen Schutzstrategien umsetzt und, ganz wichtig, belastbare Nachweise für seine Datenschutzmaßnahmen erbringt. So muss er beispielsweise laut Artikel 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen. Auch soll er Betroffene beraten und direkt an die Geschäftsleitung berichten. Er hat also deutlich mehr Verantwortung als bisher und die Pflicht, in die ihn der Gesetzgeber Daten nun nimmt, macht ihn im schlimmsten Fall sogar haftbar.

Mehr Rechte für den Einzelnen, mehr Aufwand für Unternehmen

Das Hauptanliegen der DSGVO besteht darin, Persönlichkeitsrechte im digitalen Raum zu stärken. Dazu gehört neben Transparenz bei der Erhebung und der Verwendung personenbezogener Daten auch das grundsätzliche Recht an den eigenen Daten und der Anspruch auf Löschung. Unternehmen müssen also gleich auf mehreren Ebenen umdenken: Bei der Gewinnung von Daten, dem Umgang mit Kunden-, Nutzer- oder sonstigen personenbezogenen Informationen in ihren verschiedenen Geschäftsprozessen und natürlich bei der Auftragsdatenverarbeitung (s.u.), also der Kategorie, in die Cloud-Computing fällt.

So verbietet die DSGVO Anbietern künftig, Zusatzleistungen mit der Bedingung zu verknüpfen, dass ein Kunde der Nutzung und Weitergabe seiner Daten zustimmt. Zum Ärger etlicher Branchen haben Kunden gemäß der DSVGO auch das Recht auf Daten-Portabilität. So könnten sie beispielsweise von ihrer Versicherung verlangen, eine Kopie all ihrer gespeicherten, personenbezogenen Daten an eine andere Versicherung zu übermitteln, und das in einem gängigen, standardisierten Dateiformat und auf sicher verschlüsselten Übertragungswegen.

Compliance im Fokus

Ab kommenden Mai reicht es nicht mehr, gesetzliche Vorgaben einzuhalten, neue Richtlinien einzuführen und die Mitarbeiter entsprechend zu schulen. Laut der „erweiterten Dokumentationspflicht“ müssen Unternehmen und ihre Datenverarbeiter jederzeit lückenlos nachweisen können, dass bei ihnen wirksame Maßnahmen zur Erfüllung der Datenschutzbestimmungen in Kraft sind. Wer dazu nicht in der Lage oder bereit ist, riskiert Bestrafung – übrigens unabhängig davon ob es bereits zu Datenschutzverstößen gekommen ist.

Als gesetzeskonform gilt die Verarbeitung personenbezogener Daten nur dann, wenn diese rechtmäßig und --für die Betroffenen nachvollziehbar—zweckgebunden erhoben werden. Die Weiterverarbeitung der Daten darf der Zweckbindung nicht widersprechen. Auch gilt das Prinzip der Datensparsamkeit, das heißt ein Unternehmen darf nur so viele Daten vorhalten, wie für den jeweiligen Zweck erforderlich sind. Hinzu kommt das Gebot, dass persönliche Daten stets sachlich korrekt und aktuell sein müssen. Sind sie es nicht, ist das datennutzende Unternehmen verpflichtet, sie unverzüglich zu löschen.

Grundsätzlich müssen personenbezogene Informationen durchgängig gegen unbefugten Zugriff und zweckfremde Nutzung geschützt sein. Hierbei kommt der Kryptografie eine besonders wichtige Rolle zu. Mit ihrer Hilfe werden Daten (etwa E-Mails) codiert und für Unbefugte unlesbar gemacht. Moderne Ver- und Entschlüsselungsverfahren sind einer der wesentlichsten Bestandteile der IT- und Datensicherheit, jedoch noch nicht ausreichend verbreitet.

Folgen im Blick behalten

Aufwändig kann auch die in der DSVGO verankerte Pflicht zur Datenschutz-Folgeabschätzung sein, die teilweise der bekannten Vorabkontrolle (nach § 4d Abs. 5 BDSG) entspricht: Wenn die Verarbeitung personenbezogener Daten Risiken für betroffene Personen birgt, etwa Einschränkungen von Freiheiten und Rechten, sind diese zu beschreiben und zu bewerten – und nötigenfalls mit den zuständigen Behörden abzuklären. Dies gilt etwa für die Verarbeitung sensibler Daten oder bei der Überwachung öffentlicher Bereiche.

Kommt es zu Datenschutzverletzungen, müssen Unternehmen die betroffenen Personen (und die zuständigen Behörden) innerhalb von 72 Stunden informieren und eine Kontaktperson für Nachfragen benennen. Laut DSVGO haben Betroffene einen gesetzlichen Anspruch auf Informationen zur Art der Datenschutzverletzung, deren möglichen Folgen sowie darüber, welche Maßnahmen zur Schadensbegrenzung beziehungsweise Schadensbehebung erfolgen.

Datenschutz auf allen Ebenen

Vor Herausforderungen und möglicherweise kostenintensive Restrukturierungen von Geschäfts- und Betriebsprozessen stellt die DSVGO Unternehmen auch im Hinblick auf die Technik und Organisation. Um die Einhaltung der Datenschutzvorschriften zu gewährleisten, müssen sie nun beispielsweise durch systemische Voreinstellungen sicherstellen, dass nur die zwingend erforderlichen Daten in die Verarbeitung gehen. Dafür sind viele Unternehmen bisher einfach nicht ausgestattet. Für andere bedeutet es das Ende unkontrollierte Geschäfte mit gesammelten Daten und deren Weitergabe an Dritte.

Schwer dürfte Vielen auch der Nachweis über die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten fallen. Beauftragte Dienstleister müssen zwar vertraglich garantieren, personenbezogene Daten durch geeignete Maßnahmen abzusichern und umfassend schützen. Aber auch sie sind häufig noch nicht darauf eingestellt, dass die DSVGO Auftraggeber und Auftragsverarbeiter gesamtschuldnerisch in die Pflicht nehmen und für Handlungen eines Unterbeteiligten haften lassen kann.

Wie umfassend EU-Behörden die Einhaltung der Datenschutzanforderungen kontrollieren werden, ist bisher noch nicht abzusehen. Zugzwang in Sachen Gesetzeskonformität besteht dennoch, daher stehen viele Unternehmen vor teils kostenintensiven Veränderungen ihrer Arbeitsweisen und Investitionen in die technische Infrastruktur.

Der sorglose Umgang mit Kundendaten (a la „schick doch mal schnell die Excel-Datei“) kann künftig schmerzhafte Folgen haben. Entscheider täten also gut daran, neben Verschlüsselungslösungen auch umfassende Monitoring- und Log-Verfahren einzuführen. Hilfreich kann auch ein modernes Datenschutz-Managementsystem (DSMS) sein. Zu bedenken ist allerdings: Um Schwachstellen und Fehler beim Datenschutz auszumerzen, kann Technik allein niemals ausreichen.

Wussten Sie schon, dass ...

… die Sicherheitsexperten eines deutschen IT-Security-Anbieters alleine im ersten Quartal 2017 über 750.000 neue Schad-Apps für das beliebte Betriebssystem Android entdeckt haben? Für das Gesamtjahr werden rund 3,5 Millionen Schadprogramme erwartet, die gezielt Sicherheitslücken nutzen.