Europäische Datenschutz-Grundverordnung - Unternehmen für den Datenschutz fit machen
Interview: Dr. Christian Lenz
Die Europäische Datenschutz-Grundverordnung (EU- DSGVO) tritt am 25.5.2018 in Kraft. Dr. Christian Lenz ist Rechtsanwalt bei der dhpg und als externer Datenschutzbeauftragter aktiv. In dieser Funktion berät er Unternehmen darin, die anstehenden Fragestellungen umfassend, frist- und regelkonform umzusetzen. Dabei arbeitet er eng mit den Fachleuten aus Risikomanagement, Compliance sowie IT-Sicherheit zusammen.
Warum gibt es diese neue Verordnung?
Was war der Anlass dafür?
Trotz einer europäischen Datenschutzrichtlinie konnte man bisher eher von einem datenschutzrechtlichen Flickenteppich sprechen. Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) schafft nun ein einheitlich hohes Datenschutzniveau in der Europäischen Union. Sie ist für alle Mitgliedstaaten der Europäischen Union bindend. Sprich: Alle Länder müssen die darin zusammengefassten Maßnahmen umsetzen. Das ist zu begrüßen. Neben der einheitlichen Ausrichtung wird das Datenschutzrecht damit zukunftssicher. Dies zeigt anschaulich die Offenheit der Verordnung für künftige technologische und wirtschaftliche Entwicklungen. Gleichzeitig wird der Tatsache Rechnung getragen, dass der freie Waren-, Kapital- und Dienstleistungsverkehr einen ungehinderten Datenverkehr erfordert. Dies alles auf Basis eines einheitlichen und hohen Datenschutzniveaus.
Deutschland gilt als Land mit den schärfsten Datenschutzauflagen? Warum haben wir trotzdem etwas zu tun und wen betrifft es?
Deutschland gilt seit Jahren als Vorreiter in Sachen Datenschutz und hat an vielen Stellen seine datenschutzrechtlichen Vorstellungen und Systematiken in die neue Verordnung einbringen können. In der Vergangenheit wurden jedoch die personell schwach ausgestatteten Landesdatenschutzbeauftragten nur bei konkreten Beschwerden oder bei extremen Verstößen aktiv. Zukünftig müssen umgekehrt die Unternehmen den datenschutzkonformen Betrieb dokumentieren und nachweisen. Da haben es natürlich die Betriebe einfacher, die bereits geeignete Datenschutzstrukturen geschaffen haben. Unternehmen, die bislang den Datenschutz eher stiefmütterlich behandelt haben, müssen jetzt umdenken und das Thema auf die Agenda setzen. Handlungsbedarf besteht allerdings bei allen Unternehmen. Zukünftig drohen – beispielsweise bei Vernachlässigung der Dokumentationspflichten – hohe Strafen. Somit steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer und Datenschutzbeauftragte.
Wo sollten Unternehmen jetzt genau hinschauen? Was sind – ganz praktisch gesehen – die wichtigsten Punkte?
Die Erfüllung der vielen Detailverpflichtungen ist eine Herausforderung. Dies muss systematisch anhand von Checklisten abgearbeitet werden. Wichtig ist vor allem, die künftige Bedeutung des Datenschutzes zu erkennen und strategisch wie operativ anzugehen. Wir raten unseren Mandanten, eine Compliance-Struktur zum Schutz der personenbezogenen Daten zu entwickeln, die geeignete Grundsätze und Maßnahmen, aber auch den dazu notwendigen organisatorischen Aufbau zur Einhaltung des Datenschutzes festlegt. Dies wird an vielen Stellen in den Unternehmen dazu führen, bestehende Prozesse zu überdenken. Natürlich muss das gerade im Mittelstand pragmatisch und proportional zur Unternehmensgröße erfolgen. Die Verordnung sieht Risiko- und Folgenabschätzung für alle kritischen Datenverarbeitungen eines Unternehmens vor. Damit wird der Datenschutz zu einem festen Bestandteil des Risikomanagements. Die gesamten praktischen Aufgaben ergeben sich ganz zwangsläufig daraus.
Was passiert, wenn in meinem Unternehmen nichts passiert?
Dafür sieht die Europäische Datenschutz-Grundverordnung empfindliche Geldbußen von bis zu 20 Mio. € oder bis zu 4 % des globalen Unternehmensumsatzes vor. Die Geldbußen sind extra so hoch gewählt, denn sie sollen wirksam, verhältnismäßig und abschreckend sein. Letzteres zeigt den politischen Willen, ein gewisses Datenschutzniveau unbedingt herbeiführen zu wollen. Ähnlich wie im Korruptionsrecht werden sich die vertretungsberechtigten Organe im Falle von verhängten Geldbußen Schadensersatzansprüchen der Unternehmen ausgesetzt sehen. Daher sind vor allem Fremdgeschäftsführer gut beraten, die zuvor beschriebenen Compliance-Bemühungen im Bereich des Datenschutzes zu forcieren. Unabhängig hiervon ist ein ordnungsgemäßer Umgang mit personenbezogenen Daten zwischen Vertragspartnern heute gängige Praxis. Andernfalls kommt es erst gar nicht zu einer Geschäftsbeziehung.
Warum sollten Unternehmen sich jetzt schon mit der Verordnung beschäftigen?
Der 25.5.2018 ist nicht mehr allzu weit weg, wenn man die Umsetzungsdauer von derartigen Veränderungsprojekten betrachtet. Bitte bedenken Sie, dass unter Umständen die gesamte Datenschutzstruktur auf ein anderes Level gehoben werden muss. Das bedarf einer gewissen Vorbereitungszeit.
Wo liegen in diesem Zusammenhang die Vorteile eines externen Datenschutzbeauftragten?
Ein Unternehmen, das zehn oder mehr Mitarbeiter beschäftigt und durch diese geschäftsmäßig personenbezogene Daten erhebt oder automatisiert verarbeitet, muss weiterhin einen Datenschutzbeauftragten bestellen. Die Alternative zur Auswahl einer internen Person ist die Bestellung eines externen Datenschutzbeauftragten. Er oder sie berät in allen datenschutzrechtlichen Fragestellungen, hält das Unternehmen über die Neuerungen auf dem Laufenden und schult die Mitarbeiter. Für den externen Datenschutzbeauftragten spricht, dass ein geschulter Fachmann zu einem fest kalkulierbaren Preis die offene Flanke des „Datenschutzes“ schließt. Für viele mittelständische Betriebe ist dies eine denkbar gute Alternative.Vielen Dank.