Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018. Für Unternehmen steigen die Anforderungen an den Datenschutz immens – und bei Verstößen drohen empfindliche Geldbußen. Wo lauern die größten Gefahren?

Die gute Nachricht vorweg: Der Datenschutz spielt zwar bei disruptiven Geschäftsmodellen im Rahmen der Digitalisierung eine deutlich größere Rolle als bei analogen Vorgängen, aber die rechtlichen Änderungen durch die DSGVO halten sich zumindest in Grenzen. Viele Besonderheiten des deutschen Datenschutzrechts wurden nun auch im europäischen Recht verankert. Der Anpassungsbedarf ist in Deutschland daher geringer als in anderen europäischen Ländern. Der Handlungsbedarf ergibt sich jedoch nicht nur aus rechtlichen Änderungen, sondern vor allem aus dem massiv gestiegenen Gewicht des Datenschutzrechts. Wurde der Datenschutz bisher gelegentlich stiefmütterlich behandelt, kann sich in Zukunft kein Unternehmen ein „laissez faire“ in diesem Bereich leisten. Im Detail kommt es aber rechtlich durchaus zu deutlichen Zusatzbelastungen.

Der Dokumentationsaufwand wächst beträchtlich

So sieht die DSGVO umfangreiche Dokumentationspflichten bei der Verarbeitung personenbezogener – also Menschen zuordenbarer – Daten vor. Selbst IoT-„Maschinendaten“, die primär Geräten zugeordnet werden, können dem Datenschutz jedoch unterfallen, wenn zumindest mittelbar ein Rückschluss auf Menschen möglich ist. Unternehmen müssen nicht nur wie bisher ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten vorhalten, welches detailliert Überblick über alle Datenverarbeitungsvorgänge gibt, sondern müssen auch alle sonstigen datenschutzrelevanten Vorgänge umfangreich vom Abschluss von Datenschutzverträgen über Schulungen bis zum Umgang mit Betroffenenrechten dokumentieren.

Unternehmen müssen weitgehende Auskunfts- und Löschrechte gewähren

Die Rechte der betroffenen Personen, also der Personen, deren Daten verarbeitet werden, werden deutlich ausgeweitet. So muss ein Unternehmen zu Beginn jedes Verarbeitungsvorgangs umfangreich über die Datenverarbeitung informieren – auch gegenüber Mitarbeitern. Die betroffenen Personen können grundsätzlich jederzeit die Herausgabe ihrer personenbezogenen Daten verlangen, in Einzelfällen auch deren Löschung und Berichtigung. Dies stellt Unternehmen vor große Herausforderungen, da sie häufig gar nicht wissen, welche Daten an welcher Stelle im Unternehmen vorgehalten werden.

Technische Umsetzung der rechtlichen Anforderungen erforderlich

Unternehmen müssen außerdem sicherstellen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn sie nicht mehr für den Zweck benötigt werden, für den sie verarbeitet wurden. Das setzt ein umfangreiches Löschkonzept voraus. Unternehmen sollten außerdem ihre Sicherheitsmaßnahmen auf den Prüfstand stellen. Sie müssen nämlich auch durch technische Schutzmaßnahmen gewährleisten, dass die Datenverarbeitungssysteme dem Stand der Technik genügen und die personenbezogenen Daten angemessen schützen. Außerdem müssen sie dafür sorgen, nur zwingend erforderliche Daten zu verarbeiten – beispielsweise durch datenschutzfreundliche Voreinstellungen von IT-Systemen.

Jede Datennutzung muss gesondert gerechtfertigt werden

Unternehmen müssen sich zudem viel stärker über die notwendige Rechtsgrundlage für die Datenverarbeitung Gedanken machen: Denn die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn eine Einwilligung der betroffenen Personen vorliegt oder eine Rechtsnorm die Datenverarbeitung ausdrücklich gestattet. Dabei unterliegt die Einwilligung hohen Voraussetzungen und kann beispielsweise im Arbeitsverhältnis kaum wirksam eingeholt werden. Bei Datenverarbeitungsvorgängen, die besonders in die Rechte der betroffenen Personen eingreifen (beispielsweise bei weitreichender Erstellung von Nutzerprofilen), kann außerdem eine umfangreiche Datenschutzfolgenabschätzung notwendig werden, im Rahmen derer das Risiko der Verarbeitung beurteilt werden muss und gegebenenfalls risikomindernde Maßnahmen zu ergreifen sind – bis hin zur Einstellung der Datenverarbeitung.

Datenschutzverstöße müssen gemeldet werden

Hat all dies nicht geholfen und es kommt zu einer Datenschutzverletzung, muss das Unternehmen grundsätzlich sowohl die Datenschutzaufsichtsbehörden als auch die betroffenen Personen zeitnah informieren; normalerweise hat es für die Meldung an die Datenschutzaufsichtsbehörden 72 Stunden Zeit. Diese Frist kann nur eingehalten werden, wenn detaillierte Eskalationsprozeduren, bspw. über Richtlinien, vorab festgelegt sind.

Abschreckung erwünscht

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro bzw. vier Prozent des Jahresumsatzes vor, je nachdem, was höher ist. Die Bußgelder sollen in abschreckender Höhe verhängt werden. Auch der Effekt negativer PR sollte nicht unterschätzt werden.

Um die neuen Verpflichtungen der DSGVO nicht nur punktuell, sondern nachhaltig umzusetzen, ist eine robuste Datenschutzstruktur unabdingbar. Unternehmen sollten die Datenschutzverantwortlichkeiten sowohl zentral als auch dezentral klar zuordnen und auf dieser Basis Datenschutzkonzepte und –richtlinien sowie Standardvorgehensweisen implementieren. Mitarbeiter, die Verpflichtungen aus der DSGVO unterliegen, sollten diesbezüglich geschult werden. Mit der Einführung ist es aber nicht getan: Die Maßnahmen sollten in der Folgezeit immer wieder überprüft und aktualisiert werden. Neben dem Datenschutzbeauftragten ist hier besonders die Geschäftsführung gefordert, die das Thema Datenschutz spätestens jetzt zur Chefsache machen muss, wenn das nicht zuvor schon passiert ist.