Die großen und kleinen „Gemeinheiten“ der Datenschutz-Grundverordnung (DSGVO) für Unternehmer

Trennlinie

Die großen und kleinen „Gemeinheiten“ der Datenschutz-Grundverordnung (DSGVO) für Unternehmer – oder warum Unternehmen die DSGVO nicht ignorieren können!

Hannover im Mai 2017

Der Text der Datenschutz-Grundverordnung (DSGVO) ist nun seit ca. einem Jahr bekannt. Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU wurde Anfang Mai 2017 vom Deutschen Bundestag verabschiedet. Unternehmen könnten also sehr genau wissen, was im Mai 2018 auf sie zukommt. Dennoch werden die kommenden Regelungen von KMUs und Mikrounternehmen erfolgreich ignoriert, verdrängt oder einfach nicht wahrgenommen. Der Ernst der Lage ist noch nicht erkannt, daher wird sich diese Strategie leider als fatal herausstellen, in diesem Artikel erfahren Sie, warum.

Ein Beitrag von Stephan Rehfeld, scope & focus Service-Gesellschaft mbH.

Trotz des „Meinungsverstärkers“ der existenzbedrohenden Bußgelder tut sich in Bezug auf die Umsetzung der DSGVO in der deutschen Wirtschaft nichts oder nicht viel. Selbst in großen Konzernen gibt es aktuell nur geringe Anstrengungen zur Umsetzung der Verordnung, weil häufig (noch) keine Budgets für entsprechende Projekt bereitgestellt wurden. Denn in Gesprächen mit Geschäftsleitungen von Unternehmen des deutschen Mittelstandes, wird immer wieder auf das jetzige Vollzugsdefizit der deutschen Datenschutz-Aufsichtsbehörden verwiesen und der tiefe Glaube geäußert, dass dies so bleiben wird. Eine schöne Vorstellung, die leider die Realität ignoriert: Die deutschen Datenschutz-Aufsichtsbehörden sind dabei Personal aufzurüsten.

In den Unterhaltungen wird auch immer wieder geäußert, dass man sich nicht vorstellen kann, dass Bußgelder im avisierten Rahmen gegen Unternehmen verhängt werden. Auch von dieser Vorstellung sollte man sich tunlichst trennen.

Helen Dixon, die oberste irische Datenschutzbeauftragte, äußerte sich in einem Interview kürzlich gegenüber dem irischen Independent:

Adrian Weckler (AW): Are you willing to go the full distance in fining companies €20m?

Helen Dixon (HD): Yes. We have to be willing to. The legislature in Europe provided for fines up to that level because they believe in certain cases it may arise. Presumably, it would involve many users. But it's absolutely the case that we will be imposing fines against big and small entities based on the issues that come across our desk and the areas of risk we identify. There's nothing surer than this.

AW: Will there by any leeway to ease companies into the new, stricter punishment regime?

HD: No. There's not going to be any amnesty or first or second chances. On the other hand, the GDPR does set out criteria when we go to look at the quantum of fine we might impose.

Helen Dixon stellt ganz klar fest, dass es bei der Verhängung von Datenschutzbußgeldern keinen Kompromiss oder eine Schonzeit für Unternehmen – gleich welcher Größe – geben wird. Diese Feststellung ist auch für deutsche Unternehmen interessant, da ein wichtiges Ziel der DSGVO ja grade ist, für Unternehmen ein EU-einheitliches Strafmaß zu etablieren. Unternehmen sollen sich nicht einen Unternehmenssitz in der EU aussuchen können, in dem die Datenschutzgesetze lax ausgelegt werden.

Informationssicherheit bei der Verarbeitung personenbezogener Daten

Momentan wird in der Datenschutz-Szene viel vom risikobasierten Ansatz gesprochen. Insbesondere der Artikel 32 DSGVO, die „Informationssicherheit bei der Erhebung und Verarbeitung personenbezogener Daten“, ist Ausfluss der Risikoorientierung. Die Verantwortlichen sollten sich bereits jetzt mit diesem Ansatz auseinanderzusetzen, da er bisher nicht der deutschen Unternehmenskultur entspricht. Die frühzeitige Integration dieses zentralen Datenschutzansatzes ist aber wichtig, um die DSGVO - aus Betroffenensicht richtig - und - aus Unternehmenssicht wirtschaftlich – umsetzen zu können. Während Konzerne meist in der Lage sind, mit entsprechende Beraterzusammen zu arbeiten, werden Kleinst- und KMUs vor die Herausforderung gestellt, mit eigenen Ressourcen entsprechende Konzepte für einen risikobasierten Ansatz zu erarbeiten, umzusetzen und zu leben.

Die Zeiten des „Wildwuchses der EDV“ vorbei! In Artikel 32 DSGVO wird Unternehmen wird eindeutig der Betrieb eines Informationssicherheits-Managementsystems bei der Verarbeitung personenbezogener Daten aus Sicht des Stakeholders „Betroffener“ vorgeschrieben. Der Stakeholder ist in diesem Fall der Betroffene, also jede natürliche Person, von dem das Unternehmen personenbezogene Daten erhebt, speichert oder nutzt. Dies ist neu, da bisher nur die wirtschaftliche Sicht des Unternehmens betrachtet worden ist.
 
Ist bisher keine Risikoanalyse für die bestehende Unternehmens-EDV gemacht worden, so ist diese nachzuholen. In Zukunft müssen dann wesentliche Erweiterungen oder Änderungen der EDV einer Risikoanalyse unterworfen werden. In einer Risikoanalyse sind entsprechende Pläne zur Risikobehandlung auszuarbeiten, zum Beispiel in Form von Maßnahmenplänen und zu dokumentieren. Die Dokumentation, die sogenannte Rechenschaftspflicht (Artikel 5 Absatz 2 DSGVO), wird generell einen sehr hohen Stellenwert einnehmen.

Sollte das Ergebnis einer Risikoanalyse sein, dass trotz risikominimierender Maßnahmen, für die „Rechte und Freiheiten des Betroffenen“ ein hohes Risiko in der Verarbeitung vorliegt, wird dem Unternehmen das Verfahren der „Datenschutz-Folgenabschätzung“ sowie die Konsultation der zuständigen Aufsichtsbehörde vorgeschrieben. Diese Vorschrift hat nicht nur Auswirkungen auf die Ausgestaltung der Unternehmens-EDV, sondern auch auf die Entwicklung von neuen Produkten und Dienstleistungen.

Unternehmen, die von effizienten Entwicklungszyklen abhängig sind, sollten sich mit dieser Problematik frühzeitig auseinandersetzen.


Fazit

Die Zeit bis zum Inkrafttreten der DSGVO ist kurz. Es ist sinnlos, sich vor der Umsetzung zu drücken. Es kann nur klar empfohlen werden, die Herausforderung anzunehmen und jetzt loszulegen.

Neue Regelungen zu den Hinweispflichten

Demnächst haben Unternehmen – der sogenannte Verantwortliche –  die Betroffenen, bei der Erhebung personenbezogener umfangreich zu informieren. Diese Informationspflicht umfasst zum Zeitpunkt einer Direkterhebung (Artikel 13 Absatz 1 und Abs. 2):

1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Bei einer Datenerhebung bei einem Dritten, also wenn die Erhebung nicht direkt bei dem Betroffenen selbst erfolgt, werden diese Hinweispflichten noch ergänzt (siehe hierzu Artikel 14 DSGVO).

Transparenz ist wichtig, fraglich ist aber, ob dem Betroffenen diese Informationsflut zum Schutz des „informationellen Rechts auf Selbstbestimmung“ hilft. Schon heute können wir z.B. an Supermarktkassen beobachten, dass die Einwilligungserklärungen bei elektronischen Überweisungen, auf der Rückseite des Kassenbons, nicht gelesen werden. Auf jeden Fall werden wir ab 2018 einen Wildwuchs an Transparenz-Hinweisen erleben.

Die Meldung des Datenschutzbeauftragten bei der Aufsichtsbehörde

Im Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU nahm der deutsche Gesetzgeber seine Möglichkeit wahr, die DSGVO durch nationales Recht zu ergänzen/zu konkretisieren. In § 38 DSAnpUG-EU wird für nichtöffentliche Stellen bestimmt, dass sie einen Datenschutzbeauftragten zu bestellen haben, wenn „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt [sind]“ oder wenn eine Verarbeitung der Datenschutz-Folgenabschätzung unterliegt. Diese Regelung ist für deutsche nichtöffentliche Stellen nicht neu, da sie lediglich die aktuellen Regelungen fortführt. Brisant wird diese Regelung aber durch die Meldepflicht des Artikels 37 Abs. 7 DSGVO, da „[…] der Verantwortliche oder der Auftragsverarbeiter […] die Kontaktdaten des Datenschutzbeauftragten [veröffentlichen] und […] diese Daten der Aufsichtsbehörde mit[teilen] muss.“. Ein Verstoß gegen diese Regelung ist bußgeldbewährt (Artikel 83 Absatz 4 lit. a)).

Die praktische Umsetzung dieser Regelung dürfte im Mai 2018 bei den Unternehmen zu sehr großen Problemen führen, die sich zu spät mit der neuen Gesetzeslage auseinandersetzen. Die folgende Annahme soll zeigen, warum:

Niedersachsen verfügt über ca. 300.000 nichtöffentliche Stellen, Bayern um ca. 700.000. Sicherlich werden nicht alle dieser nichtöffentlichen Stellen der Bestellpflicht unterliegen, aber zumindest der überwiegende Teil davon. Überlegen wir nun, wie viele Steuerberater notwendig sind, um diese Stellen in steuerlichen Fragen zu betreuen und kolportieren, dass im Datenschutzrecht - mit allen Audits, Schulungen und auch Risikobeurteilungen -  ein ähnlicher - oder auch nur ein halb so großer - Betreuungsaufwandentsteht. und schaut man sich die Branche der Datenschutzbeauftragten an, so stellt man sofort fest, dass die vorhandene Datenschutzinfrastruktur nicht ausreichend ist, um alle nichtöffentlichen Stellen mit qualifizierten Datenschutzbeauftragten zu versorgen.

In der Praxis wird eine Ausweichhandlung vermutlich werden, einen internen Datenschutzbeauftragten zu beauftragen. Dieser wird zwangsläufig nicht ausreichend ausgebildet und der komplexen Aufgabe nicht gewachsen sein. Jedoch wird durch die vorgeschriebene Meldung des Datenschutzbeauftragten bei den Aufsichtsbehörden, die Bestellung eines Strohmanns sehr einfach nachvollziehbar sein – also kann dies keine Lösung sein.