Die DSGVO gilt ab dem 25. Mai 2018: Und was jetzt?

Am 04.05.2016 wurde die Datenschutzgrundverordnung (DSGVO) im Amtsblatt der Europäischen Union veröffentlicht. Die DSGVO wird nach einer zweijährigen Übergangszeit am 25.05.2018 unmittelbar, d.h. ohne eine Umsetzung ins nationale Recht, Geltung erhalten. Die nationalen Gesetzeber, die Aufsichtsbehörden und die betroffenen Unternehmen sind von nun an angehalten, sich mit den neuen europäischen Vorschriften vertraut zu machen. Die DSGVO bewirkt in ihrem Anwendungsbereich eine vollständige Harmonisierung des Datenschutzrechts auf europäischer Ebene. Sie gilt unter anderem für alle Unternehmen, die personenbezogene Daten verarbeiten.

Das Regelungswerk der DSGVO ist deutlich umfangreicher als das bisher in Deutschland geltende Bundesdatenschutzgesetz (BDSG). Gegenüber dem im Trilogverfahren veröffentlichten Entwurf wurde der finale Text der DSGVO noch einmal von zunächst 91 Artikeln und 135 Erwägungsgründen auf nunmehr insgesamt 99 Artikel und 173 Erwägungsgründe erweitert.

Mai 2018 klingt zunächst weit entfernt. Angesichts der Vielzahl der neuen Regelungen und Anforderungen ist die Umsetzungsfrist von zwei Jahren jedoch nicht allzu üppig bemessen. Hierbei ist vor allem zu bedenken, dass vielen Unternehmen ein vollständiger Überblick hinsichtlich ihres Umgangs mit personenbezogenen Daten fehlt. Schon die Einhaltung der gegenwärtig geltenden Datenschutzvorgaben können viele deshalb nicht verlässlich evaluieren. Es besteht deshalb Nachholbedarf. Zumeist wird erst einmal eine Bestandsaufnahme durchgeführt werden müssen, bevor bestimmt werden kann, welche Schritte zur Umsetzung der Vorgaben der DSGVO zu unternehmen sind.

Der Zeitraum bis zum Inkrafttreten des neuen Regelungsregimes sollte demnach effektiv genutzt werden. Auf den folgenden Seiten stellen wir dar, welche Schritte jetzt zu empfehlen sind.

1. Bestimmung des Anwendungsbereichs der DSGVO

An erster Stelle ist zu klären, ob und wie die DSGVO im Einzelfall auf das jeweilige Unternehmen zur Anwendung gelangt. Soweit eine datenverarbeitende Stelle gegenwärtig unter die europäische Datenschutzregelungen bzw. des BDSG fällt, erscheint diese Frage zunächst banal, da jene Stelle mit an Sicherheit grenzende Wahrscheinlichkeit zukünftig auch in den Anwendungsbereich der DSGVO fallen wird. Erhöhte Aufmerksamkeit ist jedoch in solchen Fällen aufzuwenden, in welchen Stellen zwar regelmäßig Daten in oder aus der EU bzw. dem EWR verarbeiten, jedoch bislang nicht oder jedenfalls nicht eindeutig unter europäische Datenschutzvorschriften fielen. Hierbei sind sowohl inhaltliche als auch territoriale Änderungen zu beachten, welche die DSGVO im Vergleich zum gegenwärtigen Regime mit sich bringen wird:

1.1 Sachlicher Anwendungsbereich

Die DSGVO wird eine neue (und wohl auch weiterreichende) Definition von personenbezogenen Daten einführen. Insofern könnte es für manch innereuropäische Stellen zukünftig schwieriger sein, sich auf den Standpunkt zu stellen, dass sie keine personenbezogenen Daten verarbeiten. So ist nach gegenwärtiger Rechtslage hoch umstritten, ob IP-Adressen oder andere Online-Kennungen als personenbezogene Daten zu behandeln sind, solange die jeweilige Stelle diese Informationen nicht mit einer natürlichen Person verknüpft, mithin im Falle von IP-Adressen der jeweiligen Angabe des Realnamens des Internetnutzers. Die DSGVO geht nunmehr davon aus, dass der Realname lediglich eines von vielen möglichen Individualisierungsmerkmalen einer Person darstellt. Die DSGVO nennt explizit auch andere Online Identifier, die einen Personenbezug begründen können. Die DSGVO könnte deshalb eventuell schon dann anwendbar sein, wenn eine Person allein unter Verwendung einer IP-Adresse oder einer Cookie-ID individuell angesprochen werden kann.

1.2 Räumlicher Anwendungsbereich

Durch die DSGVO ändert sich der territoriale Anwendungsbereich des europäischen Datenschutzrechts. Nach gegenwärtiger Gesetzeslage kann europäisches Recht auf die Erhebung personenbezogener Daten innerhalb der EU bzw. des EWR durch Stellen in Drittstaaten zur Anwendung gelangen, wenn die Datenverarbeitung mit Mitteln im Inland bewirkt wird. Auch wenn einige, insbesondere deutsche Aufsichtsbehörden ein sehr weites Verständnis bezüglich der Frage an den Tag legen, was alles als ein solches Mittel anzusehen ist, ist unter der DSGVO zu erwarten, dass deutlich mehr Nicht-EU-Unternehmen zukünftig europäisches Datenschutzrecht werden befolgen müssen.

Die DSGVO findet nämlich stets auch dann auf nicht in der Union ansässige Unternehmen Anwendung, die betroffenen Personen in der EU Waren oder Dienstleistungen anbieten, oder  die das Verhalten betroffener Personen in der Union beobachten. Letztgenannte Regelung scheint maßgeschneidert für das Nutzer-Tracking im Internet. Aber auch das Tracking über Apps und Smartphones dürfte erfasst sein.

1.3 Auswirkungen

Vor dem Hintergrund dieser Änderungen ist davon auszugehen, dass insbesondere (auswärtige) Onlineshops, Internet-Service-Provider und App-Anbieter, sowie Online-Marketing Unternehmen zukünftig durch die DSGVO strenger reguliert werden.

2. Durchführung einer Bestandsaufnahme

Die zweijährige Umsetzungsfrist sollte zunächst dafür genutzt werden, sich einen Überblick hinsichtlich der Datenverarbeitungsvorgänge innerhalb des eigenen Unternehmens zu verschaffen. In einem zweiten Schritt sollte geprüft werden, inwiefern gegenwärtig die Rechtmäßigkeit dieser Verarbeitungsvorgänge sichergestellt wird. Auch wenn die DSGVO bereits in Kraft getreten ist (und ab Mai 2018 dann auch zu befolgen ist), sollte hieraus nicht der falsche Schluss gezogen werden, dass sich eine Ausrichtung der Datenverarbeitung anhand der gegenwärtigen Rechtslage „nicht (mehr) lohne“. Einerseits gilt das nationale Datenschutzrecht noch 2 Jahre weiter. Außerdem ist die Beachtung gegenwärtig geltender Datenschutzbestimmungen die beste Ausgangslage um zukünftig Compliance mit den Anforderungen der DSGVO zu etablieren (hierzu siehe unten). Folgenden Fragestellungen sollte hierbei im Rahmen einer Feststellung des Status quo maßgeblich nachgegangen werden:

  • Umgang mit Kunden- und Geschäftspartnerdaten

Welche Verarbeitungsvorgänge finden innerhalb der verantwortlichen Stelle statt? Ist deren datenschutzrechtliche Zulässigkeit auf Grundlage von Einwilligungen oder gesetzlichen Erlaubnistatbeständen sichergestellt?

  • Umgang mit Arbeitnehmerdaten

Zu welchen Zwecken werden Arbeitnehmerdaten verarbeitet? Bieten die gesetzlichen Erlaubnistatbestände eine hinreichende Grundlage oder sind entsprechende Betriebsvereinbarungen abgeschlossen worden?

  • Verarbeitung von sensiblen Daten

Werden von der Stelle besondere Arten von Daten wie etwa Gesundheitsdaten verarbeitet? Sind diesbezüglich die gesonderten rechtlichen Anforderungen z.B. bei der Einwilligungserteilung erfüllt?

  • Internationale Datentransfers und deren gegenwärtige Absicherung

Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR wie etwa andere Konzerngesellschaften oder IT-Dienstleister übermittelt? Wie werden diese Datentransfers gegenwärtig abgesichert (Standardvertragsklauseln, Binding Corporate Rules, Whitelist usw.)?

Für den Fall, dass Datenübermittlungen in die USA noch stets auf Grundlage einer (mittlerweile unwirksamen) Safe Harbor-Mitgliedschaft des jeweiligen Datenempfängers vorgenommen werden sollten, besteht bereits jetzt akuter Handlungsbedarf!

  • Auftragsdatenverarbeitung

Zu welchen Zwecken werden Auftragsdatenverarbeiter eingeschaltet? Sind sämtliche dieser Verarbeitungsprozesse durch entsprechende Auftragsdatenverarbeitungsverträge abgesichert und findet eine hinreichende Prüfung der Dienstleister statt? Befinden sich die Dienstleister oder deren Unterauftragnehmer außerhalb der EU bzw. des EWR?

In der Beratungspraxis ist zu beobachten, dass häufig unterschätzt wird, bei wie vielen Ausgliederungen von Geschäftsprozessen tatsächlich eine Auftragsdatenverarbeitung vorliegt. So stellen das Outsourcing der Lohnbuchhaltung, die Beauftragung eines Call-Centers oder Hosting-Dienstleisters, die Lizenzierung von Software sofern Daten auf der Infrastruktur des Anbieters wie etwa bei Cloud-Lösungen gespeichert werden oder der jeweilige Anbieter Fernzugriff zu Wartungszwecken erhält, in aller Regel eine rechtmäßig abzusichernde Auftragsdatenverarbeitung dar. Selbst die Beauftragung eines Übersetzungsbüros kann sich als Auftragsdatenverarbeitung entpuppen, sofern dem Übersetzer regelmäßig Dokumente überlassen werden, die personenbezogene Daten von Kunden oder Arbeitsnehmern enthalten.

  • Bearbeitung von Betroffenenrechten

Wie geht die Stelle gegenwärtig mit Anfragen betroffener Personen um? Werden Löschungs- oder Auskunftsbegehren zeitnah bearbeitet?

  • Datenschutzorganisation

Gibt es ausreichende innerbetriebliche Richtlinien zur Organisation des Datenschutzes, z.B. wann Daten zu löschen bzw. zu sperren sind? Gibt es definierte Vorgehensweisen im Falle von Datenpannen? Wird das Verfahrensverzeichnis entsprechend aktualisiert und gepflegt? Werden Mitarbeiter entsprechend geschult?

  • Datenschutzbeauftragter

Ist ein Datenschutzbeauftragter bestellt? Falls nein: Müsste eigentlicher einer bestellt sein? Falls ja: Inwiefern ist er in den Betriebsablauf eingebunden? Werden seine Anmerkungen aufgenommen und umgesetzt?

  • Technische und organisatorische Maßnahmen

Welche technischen und organisatorischen Maßnahmen werden ergriffen um ein angemessenes Sicherheitsniveau für Daten sicherzustellen?

3. DSGVO GAP-Analyse

Sobald der gegenwärtige Status quo festgestellt wurde, sollte im nächsten Schritt geprüft werden, an welchen Stellen die DSGVO für die unternehmensrelevanten Datenverarbeitungen andere oder zusätzliche Anforderungen stellt und wie diese erfüllt werden sollen. Folgende Neuerungen werden hierbei im Rahmen einer so genannten GAP-Analyse verstärkt zu beachten sein:

  • Änderungen bei der Einwilligungserteilung; Sonderregelung zur Einwilligung von Kindern und zu Zwecken des Profilings
  • Ausweitung der Informationspflichten und Betroffenenrechte; insbesondere Recht zur Datenübertragbarkeit und einfachen Widerrufbarkeit einer Einwilligungserklärung
  • Anforderungen an Auftragsdatenverarbeitungen und entsprechende Dienstleister
  • Pflicht zur Durchführung von Privacy Impact Assessments sowie vorheriger Konsultation der jeweils zuständigen Datenschutzbehörde bei bestimmten Datenverarbeitungsvorgängen
  • Beachtung der Prinzipien des „privacy by design“ und „privacy by default“
  • Gemeinsame Verantwortlichkeit als neue Legalisierungsoption

Die gute Nachricht ist, dass der Anpassungsbedarf in aller Regel handhabbar sein solle; vorausgesetzt allerdings, dass bereits jetzt eine datenschutzrechtliche Konformität hinsichtlich der geltenden Rechtslage gegeben ist (siehe oben). Ansonsten könnte der Umsetzungsaufwand steigen. Geänderte Anforderungen durch die DSGVO können vielfach bereits jetzt entsprechend berücksichtigt werden, um unnötig doppeltes Tätigwerden zu vermeiden.

Die DSGVO verstärkt zudem das Konzept der autonomen, jedoch überwachten Selbstkontrolle („Accountability“). Insofern ist zu erwarten, dass zukünftig die Rolle von Datenschutzaudits, Dokumentationen, Binding Corporate Rules, Codes of Conduct sowie Datenschutzzertifizierungen erheblich zunehmen wird.

4. Schlussfolgerung

Kein Unternehmen muss in Panik geraten, nur weil die DSGVO in Kraft getreten ist. Gänzlich falsch wäre es jedoch, stoisch deren Wirksamwerden im Mai 2018 abzuwarten. Der Zeitraum bis dahin muss effektiv genutzt werden, um die innerbetriebliche Datenschutzorganisation darauf einzustellen. Angesichts der möglichen Bußgeldhöhen für Datenschutzverstöße von bis zu EUR 20 Mio. oder gar 4 % des weltweiten Jahresumsatzes, ist dies bei weitem nicht nur eine Aufgabe auf der To-Do-Liste des betrieblichen Datenschutzbeauftragten sondern ein wichtiges Thema des Top-Managements.

Bitte wenden Sie sich bei Fragen jederzeit gerne an einen unserer Experten.

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.

Kommentieren

Pflichtfelder sind markiert*