Digitalisierung im Fokus

Aktuelle Trends und Informationen zur Digitalen Transformation, sowie die Plattformen SAP, SharePoint und ILC


EU-Datenschutz-Grundverordnung ab Mai 2018 - was ändert sich für Unternehmen?

EU-Datenschutz-Grundverordnung ab Mai 2018 - was ändert sich für Unternehmen?

Die neue EU Datenschutz-Grundverordnung ist bereits seit dem 25. Mai 2016 in Kraft, wirksam wird sie aber erst am 25. Mai 2018. Welche Auswirkungen hat dies für Unternehmen und welche Schritte sind für die erforderliche Transformation des Datenschutz-Managementsystems notwendig, um den neu entstehenden Compliance Verpflichtungen nach zu kommen?

 

 

Datenschutz heute

Aktuell ist die EU Datenschutzrichtlinie 95/46EG aus dem Jahre 1995 für alle Mitgliedsstaaten in der Gestalt verpflichtend, dass die Aussagen der Richtlinie im nationale Gesetze umgesetzt worden sind. In Deutschland ist dies das Bundesdatenschutzgesetz (BDSG) oder in Österreich das Gesetz „Datenschutz 2000“. Dies hat u.a. die Folge, dass sich etwa Facebook und Google bei der Wahl des europäischen Firmensitzes für Irland entschieden haben. 28 nationale Gesetzgebungen mit einem heterogenen Datenschutzrecht, dass für europäisch agierende Unternehmen, aber für Bürger, in Sachen Rechtssicherheit sehr unbefriedigend ist.

 

Datenschutz 2018

Die EU Kommission hat im Januar 2012 den ersten Entwurf einer EU Datenschutz-Grundverordnung (DS-GVO) vorgestellt. Neben der unakzeptablen Heterogenität des europäischen Datenschutzrechts spielten noch weitere Gründe eine wichtige Rolle:

 

• Chancengleichheit für europäische Unternehmen, durch eine stärkere Verbindlichkeit der DS-GVO
  für US Internet Unternehmen (Anwendbarkeit und drastische Erhöhung der Geldbußen)

• Einzug der digitalen Lebens- und Arbeitswelt in das neue EU Datenschutzrecht

• Stärkung der Verbraucherrechte (z. B. im Internet-Handel)

 

Nach vier Jahren wurde 2016, nach Abstimmung mit dem EU Parlament und des Europäischen Rat (Trilog) die DS-GVO verabschiedet.

 

„Mit der Datenschutz-Grundverordnung wird die Vision eines hohen einheitlichen Datenschutzniveaus für die gesamte Europäische Union Wirklichkeit. Dies ist ein großer Erfolg für das Europäische Parlament und ein starkes europäisches Ja zu starken Verbraucherrechten und mehr Wettbewerb im digitalen Zeitalter. … Das neue Gesetz schafft Vertrauen, Rechtssicherheit und einen faireren Wettbewerb.“ So formuliert vom Berichterstatter des EU Parlaments Jan Philipp Albrecht (MdEP, Bündnis 90/Die Grünen).

 

In Kraft trat die DS-GVO bereits im Mai 2016, jedoch wirksam wird sie erst am 25.05.2018 - dies erfolgt dann ohne weitere Übergangszeit.

 

Was ändert sich konkret zur heutigen Situation?

Die DS-GVO wirkt als unmittelbar wirkende Verordnung und ersetzt somit die bisher geltende EU Datenschutzrichtlinie 95/46EG und alle nationalen Datenschutzgesetze. Somit wird das bundesdeutsche BDSG unwirksam – zu mindestens prinzipiell. Dies hat ein europäisch einheitliches Datenschutzgesetz zur Folge. Es gibt jedoch in der DS-GVO 54 Öffnungsklauseln, die von den Mitgliedsstaaten für nationale Konkretisierungen und Anpassungen genutzt werden können. Die muß jedoch im Einklang mit der DS-GVO stehen. Deutschland hat diese Möglichkeit ergriffen und das aktuell noch gültige BDSG in eine Art Überleitungs- und Anpassungsgesetz verwandelt. Das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – (DSAnpUG-EU)“ wurde am 12.05.2017 vom Bundesrat verabschiedet und wird nach Unterzeichnung durch den Bundespräsidenten und anschließender Veröffentlichung im Bundesgesetzblatt in Kraft treten.

 

Auswirkung für Unternehmen

Die Kernelemente des BDSG sind auch in der DS-GVO weiterhin gültig wie etwa die Zweckbindung bei der Verarbeitung personenbezogener Daten bzw. dem „Verbot mit Erlaubnisvorbehalt“. Auch die Verpflichtung einen Datenschutzbeauftragten zu bestellen bleibt weiterhin bestehen. Prinzipiell wird es deutschen Unternehmen leichter fallen die DS-GVO umzusetzen, als etwa Unternehmen in anderen europäischen Ländern.

Es gibt allerdings neue Verpflichtungen, die wesentlich sind und bei Nichtbeachtung empfindliche geahndet werden:

 

• Bußgelder bis zu 20 Millionen EUR bzw. 4% vom Jahresweltumsatzes eines Unternehmens
  (der höhere Betrag ist zu wählen)

• Eine Rechenschaftspflicht für Unternehmen wurde eingeführt (Beweisumkehr). Unternehmen
  müssen nachweisen, dass dem Datenniveau entsprechende Sicherheitsmaßnahmen getroffen werden.

• Um dies erfüllen zu können ergeben sich mannigfaltige Dokumentationspflichten

• Die Sicherheit der personenbezogenen Daten muss durch ein Informationssicherheitskonzept
  garantiert werden

• Es ist eine Risikoanalyse für die Verarbeitung personenbezogener Daten durchzuführen.
  Für besonders sensible Daten ist eine Datenschutz-Folgenabschätzung vorgeschrieben

• Umfangreiche Informations- und Transparenzverpflichtungen im Bereich Internet, Call-Center …

• Meldepflichten an die zuständige Aufsichtsbehörde (Datenschutzbeauftragter, Sicherheitsvorfälle …)

• Vorschriften für Soft- und Hardware-Entwickler

• …

 

Was gibt es konkret zu tun?

Unter Compliance Gesichtspunkten sind Unternehmen gut beraten das eventuell bereits vorhandene Datenschutz-Managementsystem an die DS-GVO anzupassen - falls dies nicht der Fall muss dies neu etabliert werden. Die Anwendung des PDCA-Prinzips (Plan-Do-Check-Act) kann hier sehr hilfreich sein.

 

Plan

Ist bereits ein Datenschutzbeauftragter aktiv im Unternehmen tätig, so gilt es die Erfordernisse der DS-GVO mit den Geschäftstätigkeiten abzugleichen. Ziel ist es die notwendigen Arbeiten zu lokalisieren und in eine Roadmap zu bringen: Wer, erledigt was, wie und bis wann. Die entsprechenden Pläne können und werden sehr unterschiedlich sein. Ein Unternehmer aus dem Bereich Maschinenbau hat andere Aufgaben zu erfüllen, als ein Unternehmen aus dem Bereich Medizin/Pharmazie. Diese Planung ist mit der Geschäftsführung, als gesamtverantwortliches Organ abzustimmen.

Die Beauftragung eines externen Datenschutzbeauftragten oder Datenschutz-Beraters sollte in dieser Phase ebenfalls diskutiert werden. Das Datenschutzrecht hat an Komplexität nichts verloren und wird durch die DS-GVO noch umfangreicher. 

Do

Nach Festlegung der Arbeitspakte gilt es die entsprechenden Punkte sorgfältig abzuarbeiten. Die Arbeiten sollten von fachkundiger Seite unterstützt werden. Durch entsprechende Vorlagen und Umsetzungshilfen kann zum einen der Aufwand verringert und die Qualität garantiert werden.

Check

Vor dem Wirksamwerden der DS-GVO empfiehlt es sich ein Datenschutzaudit durchzuführen zu lassen um neben einer Qualitätskontrolle auch noch für die Nachweisbarkeit der eingeleiteten Maßnahmen des Datenschutz-Managements einen entsprechenden Beleg in Form eines Testats in Händen zu haben.

Act

Die beim Datenschutzaudit zu Tage getretenen Punkte sind in dieser Phase noch abzuarbeiten. Zudem sind gerade in den nächsten Monaten von Seiten der Datenschutzaufsichtsbehörden noch Konkretisierungen zur DS-GVO zu erwarten, die dann in das Datenschutz-Managementsystem eingearbeitet werden sollten.

 

Fazit

Wir empfehlen die Transformation des Datenschutz-Managementsystems im Unternehmen gut zu planen und an Hand eines Fahrplans die erforderlichen Schritte einzuleiten. Der Aufwand dafür ist nicht zu unterschätzen, kann jedoch mit fachkundiger Unterstützung mit überschaubarem Aufwand bewerkstelligt werden. Ein Aufwand der auch die Informationssicherheit im Unternehmen erhöht und somit auch die „Kronjuwelen“ schützt.

 

Michael Gruber
IT-Security Consultant
BSP-SECURITY