Die EU-Datenschutz-Grundverordnung - Fluch oder Segen?

Die umfangreichen Vorschriften der Datenschutz-Grundverordnung (EU-DSGVO) bereiten gerade kleinen und mittleren Unternehmen erst mal Anfangsschwierigkeiten. »Wo fängt man am besten mit der Umsetzung an?«, »welche Prozesse muss man im Unternehmen in Gang setzen?« und »wie sieht ein EU-DSGVO-konformes Datenschutzmanagement letztendlich aus?« sind nur eine wenige Fragen, die derzeit noch Kopfzerbrechen bereiten.

Viele der datenschutzrechtlichen Konzepte und Prinzipien der EU-DSGVO sind im Großen und Ganzen aber nicht viel anders als die unter der bisher bestehenden EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), deren Vorschriften in Deutschland mit dem deutschen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. Wenn sich also Unternehmen schon bisher sehr aktiv um den Datenschutz gekümmert haben, sollte auch in Zukunft trotz der höheren Sanktionen nicht viel zu befürchten sein - hier reicht es aus, die bestehende Datenschutzpraxis zu überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der EU-DSGVO anzupassen und weiterzuentwickeln. Lediglich (...) die umfangreichen neuen Dokumentationspflichten sind zusätzlich umzusetzen.

ABER: Alle anderen Unternehmen sind spätestens jetzt aufgefordert, einen wirkungsvollen Datenschutz zu implementieren und das Datenschutzmanagement sowie die Dokumentation dazu bis zum 25. Mai 2018 nach den Vorgaben der EU-DSGVO zu entwickeln. Erfüllen nämlich Unternehmen die Anforderungen der EU-DSGVO nicht oder auch nur teilweise, drohen existenzvernichtende Sanktionen und Bußgelder.

Verschärfte Rechenschaftspflicht mit der EU-DSGVO

Um ihrer Rechenschaftspflicht unter dem bisherigen deutschen Datenschutzrecht nachzukommen, mussten Unternehmen ihre geeigneten Datenschutzmaßnahmen bisher nur auf Anfrage der Aufsichtsbehörden oder bei eingetretenen Störfällen nachweisen können. Mit der europäischen Datenschutz-Grundverordnung (EU-DSGVO) ändert sich das dramatisch! Zukünftig müssen Unternehmen proaktiv die Angemessenheit ihres Datenschutzniveaus den Aufsichtsbehörden detailliert nachweisen.

 Die Rechenschaftspflicht wird nun also ganz konkret

Die ganz wesentliche Änderung der Rechenschaftspflicht in der EU-Datenschutz-Grundverordnung findet sich in einem unscheinbaren kurzen Satz im Artikel 5 Absatz 2 EU-DSGVO. Dort steht:

“Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht).“

Der besagte erste Absatz aber beschreibt ausführlich die allgemeinverbindlichen Grundsätze für die Verarbeitung personenbezogener Daten. Das sind im Wesentlichen die Prinzipien von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Daten, Speicherbegrenzung sowie Integrität und Vertraulichkeit (also die IT-Sicherheit).

Auch wenn in vielen Bereichen noch nicht ganz klar ist, wohin die Reise mit dem neuen Datenschutzrecht geht – bei der Rechenschaftspflicht ist es abzusehen. Und es besteht gewaltiger Handlungsbedarf!

Die Rechenschaftspflicht dreht also die bisherige Lastenverteilung um

Bislang mussten sich Unternehmen lediglich eher passiv prüfen lassen (wenn überhaupt...) und überstanden eine solche Prüfung fast immer unbeschadet, soweit die datenschutzrelevanten Prozesse wenigstens soweit geregelt waren, dass sie wiederholbar ablaufen konnten und dabei keine nennenswerten Schäden entstanden.

Künftig erfolgt die "Beweislastumkehr": Unternehmen haben aktiv und unabhängig davon, ob es überhaupt zu Schäden oder Verstößen kam, nachzuweisen, dass ihr Datenschutz funktioniert. Dabei genügt es dann nicht mehr, die Prozesse lediglich im Griff zu haben. Stattdessen ist deren Funktionsfähigkeit aktiv nachzuweisen.

Bei künftigen Prüfungen werden Aufsichtsbehörden also primär keine Fragen mehr stellen, die man ausgewählt beantwortet. Die Datenschutzbehörde wird vielmehr erwarten, dass ihr

  • Konzeption
  • Umsetzung
  • Überwachung und
  • Korrektur

von datenschutzrelevanten Vorgängen nachgewiesen werden.

Darüber hinaus sind die zuständigen Aufsichtsbehörden nun aufgefordert, viel mehr dieser o.g. Datenschutz-Prüfungen vorzunehmen. Es kann davon ausgegangen werden, dass speziell unsere deutschen Aufsichtsbehörden diesem Aufruf Folge leisten werden.

Verschärfung der Kriterien in der Rechenschaftspflicht

Setzen Unternehmen hinsichtlich ihrer Datenschutzprozesse ein Reifegradmodell ein (wie z. B. SPICE bzw. ISO/IEC 15504-5), so reichte bisher zumeist die Stufe 2 ("wiederholbar"). Mit der EU-DSGVO muss stattdessen ab spätestens 25. Mai 2018 unmittelbar Stufe 4 ("kontrolliert") erreicht werden.

Im Einzelnen bedeutet das Folgendes:

  1. Alle datenschutzrechtlich relevanten Vorgänge müssen nachvollziehbar bzw. belegbar, d. h. dokumentiert geregelt werden. Es ist nicht mehr ausreichend, sich auf die kritischen Prozesse zu beschränken und ausschließlich für diese eine Konzeption zu entwickeln.
  2. Für alle Datenschutzprozesse sind angemessene Kennzahlen oder andere Kriterien zu entwickeln, mit denen sich die erfolgreiche Umsetzung der Konzeption messen lässt.
  3. Schließlich muss sowohl die Erreichung und auch permanente Einhaltung dieser Kennzahlen gemessen werden.
  4. Bei Abweichungen sind Korrekturmaßnahmen erforderlich.

Der Aufwand für Unternehmen dürfte also spürbar steigen. Pikant wird das Ganze dadurch, dass Verstöße gegen die allgemeinen Grundsätze des Datenschutzes mit dem vollen Bußgeldrahmen von bis zu 20 Millionen Euro bzw. bis zu 4 % des letztjährigen globalen Umsatzes bedroht sind. Es gilt übrigens der für das Unternehmen jeweils höhere Wert. Unternehmen sollten das maximale Bußgeldrisiko auf der Grundlage ihres globalen Umsatzes bestimmen und dieses in die Compliance-Gefährdungsanalyse miteinbeziehen. Achten Sie dabei darauf, dass wirklich alle Teile des Unternehmens in die Gefährdungsanalyse sowie in ein effektives Datenschutzmanagement miteinbezogen werden.

Zusätzlich werden bei Verstößen gegen die allgemeinen Grundsätze des Datenschutzes sowohl die verantwortliche Geschäftsleitung (also der Geschäftsführer) als auch der Datenschutzbeauftragte mit jeweils bis zu 300.000 Euro Bußgeld belegt.

 Fazit: Proaktiver Datenschutz ist nun unumgänglich

Die Umsetzungsfrist für die von der EU-DSGVO geforderten Maßnahmen läuft seit 2016 und endet mit dem 24. Mai 2018. Es besteht also akuter Handlungsbedarf. Unternehmen sind dringend aufgerufen, bis spätestens zum Stichtag die notwendigen Prozesse einzurichten sowie umfangreich zu dokumentieren und eine geeignete Erfolgsmessung zu betreiben.

Fordern Sie unser Angebot zum EU-DSGVO Quick-Check an - unser Quick-Check unterstützt Sie dabei, Ihren aktuellen Status zur EU-DSGVO zu erkennen und darauf aufbauend mit einem genauen Plan bestehende Lücken zu schliesen! Der Quick-Check von B-NetCons GmbH und der daraus resultierende Report stellt die solide Basis dazu dar!