Nach mehr als vierjährigen Verhandlungen hat das EU-Parlament vor Kurzem neue Richtlinien zum europäischen Datenschutz beschlossen: die sogenannte EU-Datenschutz-Grundverordnung (DSGVO). Ab Mai 2018 soll sie europaweit einheitlich gelten und die bisherigen nationalen Gesetze ablösen. Doch die zweijährige Umsetzungsfrist ist sportlich, wenn man die Verschärfungen durch das neue Recht betrachtet: Sie bringt eine Vielzahl von Veränderungen mit sich, die Unternehmen nicht ohne Weiteres umsetzen können.
Bislang konnten die Aufsichtsbehörden bei Verstößen gegen den Datenschutz Bußgelder von maximal 300.000 Euro verhängen. Diese Sanktionen werden ab Mai 2018 erheblich verschärft: Nehmen es Unternehmen künftig beim Datenschutz nicht so genau, drohen Geldbußen von bis zu vier Prozent des globalen Umsatzes. Bei großen Unternehmen können da Milliardenbeträge zusammenkommen. Aber auch gegen kleinere Firmen können die Aufsichtsbehörden drastische Strafzahlungen verhängen.
Die Einhaltung des Datenschutzes ist nur schwer nachzuweisen
Eine für die Praxis besonders wichtige Folge versteckt sich in einer scheinbar harmlosen Regelung: Unternehmen müssen nicht nur alle Vorgaben des neuen EU-Datenschutzes befolgen, sie müssen die Einhaltung auch beweisen können. Dies stellt Firmen vor erhebliche Anforderungen. Denn es lässt sich vor Gericht zwar durchaus belegen, wenn ein Betrieb gesetzliche Vorgaben nicht eingehalten hat. Es ist aber sehr viel schwerer nachzuweisen, dass man die umfassenden Anforderungen der DSGVO tatsächlich umgesetzt hat. Eine absolute Grundvoraussetzung hierfür ist es, alle datenschutzrechtlichen Maßnahmen, Strukturen und Prozesse genau zu dokumentieren. Das ist aufwendig und kostet Geld.
Auch die sonstigen Forderungen der DSGVO haben es in sich. Unternehmen müssen beispielsweise ihre Mitarbeiter oder Verbraucher umfassend und mit vielen Details darüber informieren, wie sie deren Daten genau verarbeiten. Bevor Firmen riskante Datenverarbeitungen vornehmen, müssen sie eine Datenschutz-Folgenabschätzung vornehmen. Trifft das Unternehmen keine Maßnahmen zur Eindämmung bestehender Risiken für betroffene Personen, muss es die zuständige Aufsichtsbehörde zurate ziehen. Bei sogenannten Datenschutzverletzungen müssen Firmen sowohl die hiervon betroffenen Personen als auch die Aufsichtsbehörden informieren. Zudem müssen sie ihre IT-Systeme so betreiben, dass diese sowohl einen Datenschutz durch Technik als auch datenschutzrechtliche Voreinstellungen gewährleisten.
Der risikobasierte Ansatz ist gut, schützt aber nicht immer
Zwar sieht die DSGVO an vielen Stellen einen „risikobasierten Datenschutz“ vor. Unternehmen müssen demnach nur dann Maßnahmen zum Schutz personenbezogener Daten ergreifen, wenn den von einer Datenverarbeitung betroffenen Personen konkrete Risiken drohen. Dieses Konzept soll einen angemessenen Datenschutz sicherstellen und vor allem kleine und mittlere Unternehmen vor übermäßigem Verwaltungsaufwand schützen. Der Ansatz ist gut. Doch leider gelten viele Vorgaben auch unabhängig von tatsächlichen Risiken. Im Ergebnis sollten Firmen entsprechende Projekte zur Umsetzung der DSGVO gründlich planen und zeitnah umsetzen.
Einloggen und mitdiskutieren