Datenschutzgrundverordnung

Der Fachmann wird einwenden: Moment! Erst im Mai 2018 tritt sie in Kraft!

Nun - genau genommen ist die Verordnung bereits am 24. Mai 2016 in Kraft getreten, also verbindliches Gesetz geworden. Dank einer Übergangsperiode muss sie allerdings erst ab dem 24. Mai 2018 angewendet werden. Somit bleibt noch etwas Zeit, sich darauf einzustellen.

Glücklicherweise ist die Neuordnung des Datenschutzes momentan in aller Munde. Somit ist die Grundvoraussetzung bereits geschaffen, um im Mai 2018 nicht völlig unvorbereitet dazustehen, denn jedes Unternehmen ist sich bewusst, dass etwas getan werden muss und die Datenschutz-Compliance sichergestellt wird. Die Frage bleibt jedoch, was müssen Unternehmen konkret tun, um für die Neuordnung des Datenschutzes 2018 gerüstet zu sein? Das wichtigste für jedes Unternehmen ist, sich bewusst zu werden, welche Art von Datenverarbeitung im eigenen Betrieb eigentlich stattfindet. Überprüft werden muss, ob eine Datenverarbeitung im Auftrag für Dritte stattfindet, wo Mitarbeiterdaten gespeichert werden, ob Subdienstleister eingesetzt werden und wohin möglicherweise Daten exportiert werden.

Neue Anforderungen an den Datenschutz

Neue Anforderungen an den Datenschutz

Nach dieser ersten Analyse werden viele Werbetreibende feststellen, dass sie tatsächlich Daten verarbeiten, nicht nur Mitarbeiterdaten, und auch Dienstleister einsetzen, um Daten im Auftrag zu verarbeiten. Dies kann eine einfache Softwarelösung sein oder im Rahmen eines komplexen Outsourcing-Projektes. Mit neuer Technik und neuen Aufgabengebieten entwickeln sich auch Anforderungen an den Datenschutz. Wo früher nur begrenzt personenbezogene Daten verarbeitet wurden, etwa im Bereich Customer Relationship Management (CRM), finden heute komplexere Analyseverfahren im Bereich Big Data Anwendung. Unternehmen haben erkannt, wie wichtig es ist, das Kundenverhalten besser zu analysieren und nutzen nun innovative Technologien für Data Mining oder Profiling. Dies kann Komplikationen mit sich bringen, da sich mit ausgefeilten technischen Möglichkeiten und arbeitsteilig ausgelagerten Prozessen auch die Komplexität des Datenschutzes erhöht. Zwar wird das Datenschutzrecht durch die DSGVO nicht neu erfunden, aber es werden neue Schwerpunkte gesetzt. Unter anderem treffen den Auftragsverarbeiter nun deutlich mehr Pflichten und Risiken. Er muss sich nicht nur bewusst machen, wo wann welche Daten verarbeitet werden, er muss unter Umständen auch ein Verzeichnis von Verarbeitungstätigkeiten führen, siehe Art. 30 DSGVO. Somit kommt nach der Analyse die Kontrolle und Bewertung der Datenverarbeitung.

Was genau muss nun geschehen?

Datenschutzgrundverordnung DSGVO

Nach dem Datenflussaudit müssen Unternehmen, die Daten verarbeiten, möglicherweise einen Datenschutzbeauftragten bestellen, Art. 37 ff. DSGVO, eine Datenschutz-Folgenabschätzung bzw. Privacy Impact Assessment (PIA) für jede Art der Datenverarbeitung erstellen, Art. 35 DSGVO, und überprüfen, ob bestehende Auftragsverarbeitungsverträge, Datenschutzhinweise und Einwilligungen dem neuen Recht entsprechen. So sollte also nicht nur überprüft werden, ob im unternehmensinternen Ablauf alle Verarbeitungsprozesse dokumentiert und bewertet werden, sondern auch, ob etwa auf der Webseite des Unternehmens oder beim Tracking von Userverhalten alle Vorschriften der DSGVO eingehalten werden. Sollten hier Mängel vorliegen und nicht bis Mai 2018 beseitigt werden, kann es teuer werden. Eine der größten Neuerungen und zugleich eine der aufsehenerregendsten sind wohl die neuen Bußgeldvorschriften. Waren bislang in Deutschland Bußgelder eine Seltenheit und von nicht allzu großer Höhe, so bringen Art. 83 und 84 nun ganz neue Dimensionen in die Datenschutzwelt. Von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes ist hier die Rede – also durchaus eine Größenordnung, die die Relevanz des Datenschutzes noch einmal hervorheben dürfte.

Änderung der Schadenersatzansprüche

War bisher allein der Herr der Daten verantwortlich gegenüber dem Betroffenen sind nun zum einen die Ansprüche gewachsen, da jede Person materielle und neuerdings auch immaterielle Schäden ersetzt verlangen kann, zum anderen haftet nun der Auftragsverarbeiter neben dem Verantwortlichen gesamtschuldnerisch für den gesamten Schaden. Dies kann für den Auftragsverarbeiter empfindliche Ersatzansprüche bringen, sollte er sich nicht vertraglich abgesichert haben.

Keine grundsätzliche Neuerung bringt die DSGVO hinsichtlich des Ortes der Datenverarbeitung. Auch bisher konnte eine Datenverarbeitung unproblematisch nur innerhalb der Europäischen Union (EU) oder sogenannten sicheren Drittländern stattfinden, welche laut Kommission ein Datenschutzniveau aufweisen, welches dem der EU entspricht. Auch jetzt schon muss also beim Export von Daten in andere Länder die Verarbeitung vertraglich abgesichert sein. Momentan sind dies vor allem die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern oder etwa die Regelungen nach Privacy Shield. Insofern ergeben sich auch hier keine Neuerungen im Vergleich zum bereits geltenden Recht.

Insgesamt können sich also Unternehmen, die sich mit dem aktuellen Datenschutzrecht befasst haben und sich entsprechend aufgestellt haben, relativ beruhigt mit der DSGVO befassen und ihre Prozesse und Verträge entsprechend anpassen. Sollte die Befassung mit dem Thema Datenschutz allerdings ein Novum sein und Unternehmen feststellen, dass sie vollkommen unvorbereitet von diesem Thema getroffen werden, wird es höchste Zeit, den Datenschutz zu priorisieren und die DSGVO im eigenen Unternehmen umzusetzen, bevor es im Mai 2018 teuer werden könnte.

Share articleShare