Neuigkeiten
Startseite / Themen / Aktuell / EU-Datenschutz-Grundverordnung – Nur noch wenige Tage
EU-Datenschutz-Grundverordnung – Nur noch wenige Tage

EU-Datenschutz-Grundverordnung – Nur noch wenige Tage

Eine neue Vorschrift regelt europaweit den Umgang von Unternehmen mit personenbezogenen Daten. Informations- und Dokumentationspflichten werden dadurch noch wichtiger. Doch die wichtigste Nachricht lautet: Praktisch jedes Unternehmen ist betroffen. Am 25.5.2018 ist es so weit.

„Wer jetzt kein Haus hat, baut sich keines mehr“, heißt es in dem Gedicht „Herbsttag“ von Rilke. Wer sein Unternehmen jetzt noch nicht fit gemacht hat für die EU-Datenschutz-Grundverordnung – und das sind sehr viele insbesondere kleine und mittlere Betriebe –, der macht das jetzt auch nicht mehr, könnte man analog formulieren. Oder muss es nicht mehr tun.

Diese Einschätzung wäre ein grober Fehler. Die EU-Datenschutz-Grundverordnung – kurz: EU-DSGVO – tritt nämlich nicht, wie viele fälschlich glauben, am 25.5. in Kraft, mit dann beginnender Übergangszeit. Sie wird am 26.5. wirksam – nachdem sie bereits genau zwei Jahre zuvor in Kraft getreten ist. Zugleich tritt am 25.5. das neue Bundesdatenschutzgesetz (BDSGneu) in Kraft, anhand dessen der deutsche Gesetzgeber spezielle Bereiche des Datenschutzrechts auf nationaler Ebene konkretisiert.

„Mein dringender Rat an alle Unternehmen, die sich bisher nicht mit dieser wichtigen EU-Verordnung befasst haben, lautet: So schnell wie möglich für Rechtssicherheit zu sorgen, um das Risiko, abgemahnt zu werden, zu minimieren“, sagt Jörg Rossen, Geschäftsführer der Creditreform Bonn Rossen KG. Er informiert seine Kunden und andere Firmen seit Monaten in Vorträgen und persönlichen Gesprächen über das, was gerade in Sachen Datenschutz-Anforderungen auf sie zukommt und was sie bis zum 25.5. getan haben sollten.

Das ist eine ganze Menge. Mit der EU-DSGVO gilt eine neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Und zwar eine EU-weit einheitliche. Damit wurden die teils äußerst unterschiedlichen Datenschutzgesetze in den einzelnen EU-Ländern vereinheitlicht. Betroffen sind sogar Unternehmen außerhalb der EU – nämlich dann, wenn sie Daten von Personen aus der EU verarbeiten. Dies soll sicherstellen, dass sich auch Cloud-Anbieter und soziale Netzwerke an die Regeln halten.

Wer nun glaubt, aus dem Schneider zu sein, weil nur große Firmen mit besonders vielen Kundenkontakten betroffen wären, der irrt. Sämtliche Unternehmen, die im Internet aktiv sind, fallen unter die neuen Regelungen – selbst wenn sie nur Werbemails oder einen Newsletter verschicken.

Davon abgesehen haben die meisten Großunternehmen ihre Hausaufgaben gemacht. „Nach meiner Beobachtung befassen sich Großkonzerne schon länger mit dem Thema und haben daher schon viele Regelungen umgesetzt“, sagt Benjamin Spallek, Consultant Compliance und Datenschutz bei der Creditreform Compliance Services GmbH in Neuss, „viele KMUs haben das hingegen auf die lange Bank geschoben.“

Panikmache liegt Spallek indes fern. „Es ändert sich im Grunde genommen gar nicht besonders viel gegenüber der bisherigen Rechtslage“, beruhigt er. „Aber: Wer in der Vergangenheit zu lax mit Daten umgegangen ist, der hat nun viel zu tun.“

Den Umgang mit Daten genau dokumentieren

Ganz allgemein gesprochen, kommen drei Dinge auf die Unternehmen zu:

  • zusätzlicher, unter Umständen hoher Aufwand für die Information von Betroffenen und die Dokumentation von Datenbestand, Datenflüssen und Datenverarbeitungsprozessen,
  • erhöhte Sensibilität bei Kunden und Geschäftspartnern,
  • deutlich gestiegene Bußgeld- und Haftungsrisiken für Geschäftsführer und Datenschutzbeauftragte.

Als personenbezogene Daten gelten dabei sämtliche Informationen, die sich auf eine betroffene Person beziehen. Primär sind das der Name sowie Geburtsdatum und -ort, aber auch Telefonnummern, Adressen, Kontonummern und Online-Kennungen wie E-Mail-Adressen und biometrische Daten. Auch Datenfelder mit Metadaten, etwa Geo-Daten und Datumsangaben, Cookie-Ids, User-Ids, IP-Adressen oder MAC-Adressen, sind einbezogen.

„Alle Unternehmen, die sich noch nicht mit der EU-DSGVO befasst haben, müssen nun intern klären, ob sie im Zweifel nachweisen können, ein Recht an den vorhandenen Daten zu haben – entweder aufgrund einer zuvor erfolgten Einwilligung oder einer sonstigen Rechtsgrundlage“, erläutert Rossen. Zudem müssen sie zu jedem Datensatz eine entsprechende Dokumentation vorhalten. „Eine solche Basisdokumentation fehlt in vielen Firmen“, weiß Spallek, „wer sie aber einmal implementiert hat, kann jederzeit leicht darauf aufsatteln.“

Die Creditreform Bonn und die Creditreform Compliance Services empfehlen als erstenSchritt eine sorgfältige Bestandsaufnahme: Welche Daten werden überhaupt erfasst? Und wie werden sie erfasst? Dokumentiert werden müssen dann Angaben zum Zweck der Erhebung, den Datenarten, den Kategorien von Empfängern sowie der Übermittlung in Drittstaaten. „Diese Pflicht trifft auch Auftragsdatenverarbeiter“, erklärt Rossen, „nämlich bezüglich der auftragsbezogenen Verarbeitung personenbezogener Daten.“

Auch eine Datenschutz-Folgenabschätzung sowie Sicherheitsvorfälle und interne Audits gehören in die Dokumentation. Die Form dieses Verzeichnisses ist gesetzlich nicht vorgeschrieben.

Notwendigkeit einer Datenschutzerklärung

Unerlässlich ist zudem eine Datenschutzerklärung auf der Webseite. Die Nutzer müssen darin über Folgendes informiert werden:

  • Namen und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke und Rechtsgrundlage,
  • gegebenenfalls die berechtigten Interessen an einer Datenverarbeitung,
  • gegebenenfalls Empfänger oder Kategorien von Empfängern der personalbezogenen Daten,
  • gegebenenfalls die Absicht einer Übermittlung in Drittstaaten oder an eine internationale Organisation,
  • weitere Informationen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten,
  • Dauer der Datenspeicherung bzw. Kriterien für die Festlegung der Dauer,
  • Bestehen von Betroffenenrechten wie Auskunft, Berichtigung, Löschung, Datenübertragbarkeit,
  • Widerrufsrecht bei einwilligungsbasierter Datenverarbeitung,
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • gegebenenfalls ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsschluss erforderlich ist,
  • gegebenenfalls Informationen zum Proling sowie aussagekräftige Informationen über involvierte Logik sowie Tragweite und die angestrebten Auswirkungen.

Wichtig ist es darüber hinaus, die Rechte der von einer Datenspeicherung und -verarbeitung betroffenen Personen zu kennen.

Dies sind:

  • ein Informationsrecht,
  • ein Auskunfts- und Widerspruchsrecht,
  • das Recht auf Berichtigung, Löschung („Vergessen werden“) und Einschränkung sowie
  • das Recht auf Datenübertragbarkeit.

Die Sensibilität der Verbraucher hat zugenommen, die Zahl von datenbezogenen Anfragen bei Unternehmen steigt. „Wir empfehlen deshalb dringend, die betriebsinternen Prozesse so anzupassen, dass Betroffene ihre Rechte ohne großen Verwaltungsaufwand wahrnehmen können“, rät Spallek. „Außerdem sollten Firmen ihre Beschäftigten entsprechend schulen.“

Mit externer Kompetenz zum bestmöglichen Datenschutz

Tatsache ist: Mit den Bestimmungen der EU-DSGVO hat die Regulierungsdichte weiter zugenommen. Gerade kleinere Betriebe stellt das vor erhebliche Herausforderungen. Sie sind, ebenso wie die großen, auf den Umgang mit personenbezogenen Daten angewiesen, es fehlt im Tagesgeschäft aber oft an ausreichenden zeitlichen und personellen Kapazitäten, um sich dem Datenschutz so zu widmen, wie es angemessen und verpflichtend wäre. Je nach Voraussetzung ist es aber bereits ab zehnBeschäftigten erforderlich, einen Datenschutzbeauftragten zu benennen. Nicht jedes Unternehmen kann und will das selbst stemmen. Denn die Funktion wird immer wichtiger, sie erfordert viel technischen und juristischen Sachverstand. Die gute Nachricht lautet: Das Gesetz schreibt nicht vor, dass der oder die Datenschutzbeauftragte im Unternehmen angestellt sein muss. Viele Firmen benennen deshalb einen externen Datenschutzbeauftragten. Vorteil: Sie selbst können sich mit voller Manpower aufs Tagesgeschäft konzentrieren, während der externe Auftragnehmer die komplexen Anforderungen an den Datenschutz sicherstellt.

Unternehmen, die Fragen zur EU-DSGVO oder anderen Aspekten des Datenschutzes haben, können sich beispielsweise an die Creditreform Compliance Services in Neuss wenden, den zentralen Dienstleister der 130 Creditreform-Gesellschaften unter anderem für Datenschutz-Services. Dessen Experten helfen bei der Umsetzung von dringenden Maßnahmen zur EU-Datenschutzgrundverordnung, unterstützen bei der Anpassung der Firmen-Webseite und bieten konkrete Handlungsempfehlungen, Musterformulierungen, Checklisten und Umsetzungshinweise. „Außerdem übernehmen wir auf Wunsch die Funktion eines externen Datenschutzbeauftragten“, sagt Benjamin Spallek. In wenigen Tagen wird die EU-Datenschutz-Grundverordnung wirksam. Kein Grund zur Panik. Aber ein wichtiger Anlass, das Datenschutzmanagement im Unternehmen auf effiziente, kundenfreundliche und rechtssichere Beine zu stellen.

 

Benjamin Spallek LL.M.
Consultant Compliance und Datenschutz
Creditreform Compliance Services GmbH
www.creditreform-compliance.de

Jörg Rossen
Geschäftsführender Gesellschafter,
Creditreform Bonn Rossen KG
www.creditreform-bonn.de