Gast­bei­trag von Ste­fan Droß — zer­ti­fi­zier­ter Daten­schutz­be­auf­trag­ter, Orga­ni­sa­ti­ons­be­ra­tung und Trai­ning für steu­er- und wirt­schafts­be­ra­ten­de Beru­fe — www.sdw-consulting.de

Han­deln Sie früh­zei­tig um teu­re Pan­nen zu ver­mei­den!
Die neue EU-Daten­schutz-Grund­ver­ord­nung: Im April 2016 vom Euro­päi­schen Par­la­ment beschlos­sen und gül­tig ab 25. Mai 2018. Bis zu die­sem Zeit­punkt haben Unter­neh­men also noch Zeit ihre IT-Infra­struk­tur und Orga­ni­sa­ti­on an die­se neue Recht­spre­chung anzu­pas­sen. Hört sich lang an, ist es aber nicht. Denn in der rela­tiv kur­zen Über­gangs­frist gibt es genug zu tun! Die EU-Daten­schutz-Grund­ver­ord­nung wird das bis­lang gel­ten­de Bun­des­da­ten­schutz­ge­setz (BDSG) ablö­sen. Ziel der neu­en Vor­schrif­ten ist, ein ein­heit­li­ches Daten­schutz­ni­veau zu schaf­fen sowie alle Mit­glied­staa­ten der EU ein­heit­lich für die Digi­ta­li­sie­rung fit zu machen und den Bür­gern mehr Kon­trol­le ihrer per­so­nen­be­zo­ge­nen Daten im digi­ta­len Zeit­al­ter zu ver­lei­hen. Vor allem im Ver­gleich zu den Rege­lun­gen des BDSG sol­len die neu­en Trans­pa­renz- und Infor­ma­ti­ons­pflich­ten der Unter­neh­men zu einem deut­lich stär­ke­ren Schutz der Betrof­fe­nen füh­ren. Die wich­tigs­ten Ände­run­gen der DSGVO auf den Punkt gebracht:

Ein­wil­li­gung
Unter­neh­men haben sicher­zu­stel­len, dass sie über unmiss­ver­ständ­li­che und aktiv for­mu­lier­te Ein­wil­li­gun­gen zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­fü­gen, sowohl von Kun­den als auch von Mit­ar­bei­tern. In die­sem Zusam­men­hang sind nach Art. 13 DSGVO die sog. Betrof­fe­nen unver­züg­lich bei Erhe­bung ihrer Daten zu infor­mie­ren.

Sicher­stel­lung des „Rechts auf Ver­ges­sen“
Die meis­ten Unter­neh­men sam­meln Mas­sen­da­ten — aber die wenigs­ten ach­ten dar­auf, sie auch wie­der aus ihren Sys­te­men zu löschen. Nach Art. 17 DSGVO müs­sen die Daten gelöscht wer­den:

  • wenn deren Spei­che­rung nicht mehr not­wen­dig ist
  • wenn ein Betrof­fe­ner sei­ne Ein­wil­li­gung zur Daten­ver­ar­bei­tung wider­ruft
  • wenn die Daten unrecht­mä­ßig ver­ar­bei­tet wur­den (soll­te nach­träg­lich kei­ne Ein­ver­ständ­nis­er­klä­rung zu bekom­men sein, sind älte­re Daten zu löschen!)
  • wenn eine Rechts­pflicht nach EU- oder natio­na­lem Recht das Löschen vor­sieht

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men
Mit der EU-DSGVO wer­den Maß­nah­men zur Sicher­heit der IT-Sys­te­me vor unge­woll­ten Zugrif­fen wei­ter ver­bes­sert: Gefor­dert ist bei­spiels­wei­se, dass Unter­neh­men geeig­ne­te Kon­trol­len mani­fes­tie­ren, um Kun­den- und Per­so­nal­da­ten zu schüt­zen. Auch das Inter­net-Recht wur­de über­ar­bei­tet. Das jüngst ver­ab­schie­de­te IT-Sicher­heits­ge­setz trägt den gestie­ge­nen Anfor­de­run­gen Rech­nung und nimmt Unter­neh­men, die eine eige­ne Web­site betrei­ben, wie auch deren Dienst­leis­ter noch mehr in die Pflicht.

Anzei­ge bei Daten­schutz­pan­nen
Nach EU-DSGVO sind Unter­neh­men ver­pflich­tet, Daten­schutz­ver­stö­ße umge­hend den Auf­sichts­be­hör­den und den Betrof­fe­nen zu mel­den, wenn der Ver­stoß zu hohen Risi­ken führt. Unter­neh­men müs­sen zuver­läs­si­ge Reak­ti­ons­pro­zes­se imple­men­tie­ren, um die­ser Ver­pflich­tung nach­zu­kom­men.

Umset­zung und emp­find­li­che Stra­fen
Bei Ver­stö­ßen wird här­ter durch­ge­grif­fen: Ver­stößt ein Unter­neh­men gegen die Daten­schutz­be­stim­mun­gen, so droht ein Buß­geld von bis zu einer Mil­li­on Euro oder zwei Pro­zent des Jah­res­um­sat­zes. Mit dem Hin­auf­set­zen der Sank­tio­nen im Extrem­fall bis zu 2 % des Jah­res­um­sat­zes eines Unter­neh­mens wird deut­lich, dass der Daten­schutz eine immer gewich­ti­ge­re Rol­le spielt. Auch der Berufs­stand der Rechts­an­wäl­te beschäf­tigt sich mit der EU-Daten­schutz­grund­ver­ord­nung. Nach den Vor­stel­lun­gen der BRAK soll­te künf­tig ein spe­zi­el­ler Daten­schutz­be­auf­trag­ter ernannt wer­den, der als allei­ni­ge Auf­sichts­be­hör­de aus­schließ­lich für die Anwalt­schaft fun­giert.

Ver­pflich­tung zum Han­deln
Unter­neh­men tun gut dar­an, sich jetzt schon mit dem The­ma zu beschäf­ti­gen. Sie soll­ten früh­zei­tig klä­ren, wie die Rege­lun­gen der DSGVO umzu­set­zen sind. Hier­bei kann der Rat vom Anwalt und IT-Spe­zia­lis­ten / Daten­schutz­be­auf­trag­ten ein­ge­holt wer­den. Anschlie­ßend sind die erfor­der­li­chen orga­ni­sa­to­ri­schen oder tech­ni­schen Maß­nah­men ein­zu­lei­ten.
Ein Bei­spiel soll die­ses ver­deut­li­chen: Bei einem Unter­neh­mens­kauf etwa wech­seln Kun­den­da­ten die Besit­zer. Hier ist jedoch Vor­sicht gebo­ten. Gene­rell soll­te drin­gend mit einem Fach­an­walt bespro­chen wer­den, wel­che Infor­ma­tio­nen der­zeit über Mit­ar­bei­ter oder Kun­den gesam­melt, gespei­chert und genutzt wer­den und wie das kor­rek­te Vor­ge­hen zum Aus­tausch zwi­schen den bei­den Par­tei­en aus­zu­se­hen hat. Wer also die Daten sei­ner Kun­den beim Unter­neh­mens­ver­kauf in ande­re Hän­de legen wür­de, soll­te mit dem Anwalt bespre­chen, ob er durch bestimm­te For­mu­lie­run­gen (z. B. in den AGB oder Ein­ver­ständ­nis­er­klä­run­gen der Kun­den) eine Zustim­mung zu die­ser Wei­ter­ga­be ein­ho­len kann.

Bei der inter­nen Ver­ga­be des Daten­schut­zes dro­hen Inter­es­sen­kon­flik­te
Neben den neu­en Rege­lun­gen der DSGVO sta­tu­iert die­se auch alt­be­kann­te Pflich­ten, wie die Ernen­nung eines Daten­schutz­be­auf­trag­ten. Unter­neh­men soll­ten dar­auf ach­ten, dass bei der Wahl des Daten­schutz­be­auf­trag­ten kein Inter­es­sens­kon­flikt besteht. Das kann theo­re­tisch nur bei einer inter­nen Lösung der Fall sein, da hier unter­stellt wer­den könn­te, dass sich die­ser u. U. selbst über­wa­chen muss. Nicht sel­ten jedoch wird die­se Vari­an­te gewählt. Die Ent­schei­dungs­trä­ger erhof­fen sich hier eine Kos­ten­er­spar­nis und ver­ge­ben die Funk­ti­on des Daten­schutz­be­auf­trag­ten an einen IT-Beauf­trag­ten, einen Mit­ar­bei­ter der Per­so­nal­ab­tei­lung oder an ein Mit­glied der Geschäfts­lei­tung, bei denen ange­nom­men wird, dass kein Inter­es­sen­kon­flikt vor­liegt. Doch Vor­sicht ist gebo­ten: Es sind Fäl­le bekannt, wonach Buß­gel­der zu zah­len waren, da die betref­fen­den Unter­neh­men ihre IT-Mana­ger zum Daten­schutz­be­auf­trag­ten gemacht hat­ten.

Nach wie vor soll also der Daten­schutz­be­auf­tra­ge eine unab­hän­gi­ge Instanz blei­ben. Infol­ge­des­sen ist auch bei der Wahl eines Ange­hö­ri­gen der Geschäfts­lei­tung Vor­sicht gebo­ten. Dies soll­te unbe­dingt mit einem Juris­ten im Vor­feld bespro­chen wer­den.

Die­ser Arti­kel stammt aus der Bro­schü­re „Lot­se“, der vier­tel­jähr­li­chen Man­dan­ten­zei­tung des del­fi-net Steu­er­be­ra­ter-Netz­werk, in dem unse­re Kanz­lei Mit­glied ist.“