Gastbeitrag von Stefan Droß — zertifizierter Datenschutzbeauftragter, Organisationsberatung und Training für steuer- und wirtschaftsberatende Berufe — www.sdw-consulting.de
Handeln Sie frühzeitig um teure Pannen zu vermeiden!
Die neue EU-Datenschutz-Grundverordnung: Im April 2016 vom Europäischen Parlament beschlossen und gültig ab 25. Mai 2018. Bis zu diesem Zeitpunkt haben Unternehmen also noch Zeit ihre IT-Infrastruktur und Organisation an diese neue Rechtsprechung anzupassen. Hört sich lang an, ist es aber nicht. Denn in der relativ kurzen Übergangsfrist gibt es genug zu tun! Die EU-Datenschutz-Grundverordnung wird das bislang geltende Bundesdatenschutzgesetz (BDSG) ablösen. Ziel der neuen Vorschriften ist, ein einheitliches Datenschutzniveau zu schaffen sowie alle Mitgliedstaaten der EU einheitlich für die Digitalisierung fit zu machen und den Bürgern mehr Kontrolle ihrer personenbezogenen Daten im digitalen Zeitalter zu verleihen. Vor allem im Vergleich zu den Regelungen des BDSG sollen die neuen Transparenz- und Informationspflichten der Unternehmen zu einem deutlich stärkeren Schutz der Betroffenen führen. Die wichtigsten Änderungen der DSGVO auf den Punkt gebracht:
Einwilligung
Unternehmen haben sicherzustellen, dass sie über unmissverständliche und aktiv formulierte Einwilligungen zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. In diesem Zusammenhang sind nach Art. 13 DSGVO die sog. Betroffenen unverzüglich bei Erhebung ihrer Daten zu informieren.
Sicherstellung des „Rechts auf Vergessen“
Die meisten Unternehmen sammeln Massendaten — aber die wenigsten achten darauf, sie auch wieder aus ihren Systemen zu löschen. Nach Art. 17 DSGVO müssen die Daten gelöscht werden:
- wenn deren Speicherung nicht mehr notwendig ist
- wenn ein Betroffener seine Einwilligung zur Datenverarbeitung widerruft
- wenn die Daten unrechtmäßig verarbeitet wurden (sollte nachträglich keine Einverständniserklärung zu bekommen sein, sind ältere Daten zu löschen!)
- wenn eine Rechtspflicht nach EU- oder nationalem Recht das Löschen vorsieht
Technische und organisatorische Maßnahmen
Mit der EU-DSGVO werden Maßnahmen zur Sicherheit der IT-Systeme vor ungewollten Zugriffen weiter verbessert: Gefordert ist beispielsweise, dass Unternehmen geeignete Kontrollen manifestieren, um Kunden- und Personaldaten zu schützen. Auch das Internet-Recht wurde überarbeitet. Das jüngst verabschiedete IT-Sicherheitsgesetz trägt den gestiegenen Anforderungen Rechnung und nimmt Unternehmen, die eine eigene Website betreiben, wie auch deren Dienstleister noch mehr in die Pflicht.
Anzeige bei Datenschutzpannen
Nach EU-DSGVO sind Unternehmen verpflichtet, Datenschutzverstöße umgehend den Aufsichtsbehörden und den Betroffenen zu melden, wenn der Verstoß zu hohen Risiken führt. Unternehmen müssen zuverlässige Reaktionsprozesse implementieren, um dieser Verpflichtung nachzukommen.
Umsetzung und empfindliche Strafen
Bei Verstößen wird härter durchgegriffen: Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, so droht ein Bußgeld von bis zu einer Million Euro oder zwei Prozent des Jahresumsatzes. Mit dem Hinaufsetzen der Sanktionen im Extremfall bis zu 2 % des Jahresumsatzes eines Unternehmens wird deutlich, dass der Datenschutz eine immer gewichtigere Rolle spielt. Auch der Berufsstand der Rechtsanwälte beschäftigt sich mit der EU-Datenschutzgrundverordnung. Nach den Vorstellungen der BRAK sollte künftig ein spezieller Datenschutzbeauftragter ernannt werden, der als alleinige Aufsichtsbehörde ausschließlich für die Anwaltschaft fungiert.
Verpflichtung zum Handeln
Unternehmen tun gut daran, sich jetzt schon mit dem Thema zu beschäftigen. Sie sollten frühzeitig klären, wie die Regelungen der DSGVO umzusetzen sind. Hierbei kann der Rat vom Anwalt und IT-Spezialisten / Datenschutzbeauftragten eingeholt werden. Anschließend sind die erforderlichen organisatorischen oder technischen Maßnahmen einzuleiten.
Ein Beispiel soll dieses verdeutlichen: Bei einem Unternehmenskauf etwa wechseln Kundendaten die Besitzer. Hier ist jedoch Vorsicht geboten. Generell sollte dringend mit einem Fachanwalt besprochen werden, welche Informationen derzeit über Mitarbeiter oder Kunden gesammelt, gespeichert und genutzt werden und wie das korrekte Vorgehen zum Austausch zwischen den beiden Parteien auszusehen hat. Wer also die Daten seiner Kunden beim Unternehmensverkauf in andere Hände legen würde, sollte mit dem Anwalt besprechen, ob er durch bestimmte Formulierungen (z. B. in den AGB oder Einverständniserklärungen der Kunden) eine Zustimmung zu dieser Weitergabe einholen kann.
Bei der internen Vergabe des Datenschutzes drohen Interessenkonflikte
Neben den neuen Regelungen der DSGVO statuiert diese auch altbekannte Pflichten, wie die Ernennung eines Datenschutzbeauftragten. Unternehmen sollten darauf achten, dass bei der Wahl des Datenschutzbeauftragten kein Interessenskonflikt besteht. Das kann theoretisch nur bei einer internen Lösung der Fall sein, da hier unterstellt werden könnte, dass sich dieser u. U. selbst überwachen muss. Nicht selten jedoch wird diese Variante gewählt. Die Entscheidungsträger erhoffen sich hier eine Kostenersparnis und vergeben die Funktion des Datenschutzbeauftragten an einen IT-Beauftragten, einen Mitarbeiter der Personalabteilung oder an ein Mitglied der Geschäftsleitung, bei denen angenommen wird, dass kein Interessenkonflikt vorliegt. Doch Vorsicht ist geboten: Es sind Fälle bekannt, wonach Bußgelder zu zahlen waren, da die betreffenden Unternehmen ihre IT-Manager zum Datenschutzbeauftragten gemacht hatten.
Nach wie vor soll also der Datenschutzbeauftrage eine unabhängige Instanz bleiben. Infolgedessen ist auch bei der Wahl eines Angehörigen der Geschäftsleitung Vorsicht geboten. Dies sollte unbedingt mit einem Juristen im Vorfeld besprochen werden.
„Dieser Artikel stammt aus der Broschüre „Lotse“, der vierteljährlichen Mandantenzeitung des delfi-net Steuerberater-Netzwerk, in dem unsere Kanzlei Mitglied ist.“