Neue Pflichten zum Datenschutz für Unternehmen - Bild: maxsim/fotolia
Bereits am 25. Mai 2016 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Allerdings existiert eine zweijährige Übergangsfrist für ihre Umsetzung. Vor diesem Horizont haben sich einer repräsentativen Umfrage des Branchenverbands Bitkom zufolge 44 Prozent der Unternehmen in Deutschland noch nicht mit der neuen Vorschrift und ihren Auswirkungen befasst. Wer sie nicht rechtzeitig umsetzt, muss jedoch mit Sanktionen von Datenschutzbehörden und empfindlichen Geldbußen rechnen. Ein Knackpunkt ist die Einwilligung für die Verarbeitung personenbezogener Daten.
Grundsätzlich schreibt die neue Verordnung die bestehende EU-Datenschutzrichtlinie und das davon abgeleitete Bundesdatenschutzgesetz (BDSG) fort. Dennoch raten Experten, die Übergangsfrist bis zum 25. Mai 2018 unbedingt zu nutzen: Auf Unternehmen kommt eine Reihe zusätzlicher Informations- und Dokumentationspflichten zu. Außerdem beinhaltet die DS-GVO neue Vorgaben zur Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) und die Durchführung einer Datenschutz-Folgenabschätzung für die Verarbeitung besonders risikobehafteter Daten. Der Bitkom hat eine FAQ zur Datenschutz-Grundverordnung zusammengestellt.
Erfüllt ein Unternehmen die Vorgaben der DS-GVO nach dem Stichtag nicht, können die Datenschutzbehörden Geldbußen bis zu einer Höhe von 20 Millionen Euro oder von vier Prozent des weltweiten Umsatzes verhängen. Gehört ein Unternehmen zu einer Unternehmensgruppe oder einem Konzern, gilt der Jahresumsatz des gesamten Verbunds als Berechnungsgrundlage. Bestraft werden können auch Unternehmen, die Auftragsdatenverarbeitung für die eigentlich Verantwortlichen durchführen.
Künftig stellt dabei auch ein Verstoß gegen die Pflicht zur Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten eine Ordnungswidrigkeit dar, so das Bayerische Landesamt für Datenschutz in seinen Erläuterungen zu den Sanktionen im Rahmen der Datenschutz-Grundverordnung. Verstößt ein Verantwortlicher gegen die Pflichten zu datenschutzfreundlicher Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen, kann dies ebenfalls zu einer Geldbuße führen.
Aktuell verfügen nur 51 Prozent der von der Bitkom befragten Unternehmen ein Verfahrensverzeichnis, das die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert. Dieses Verfahrensverzeichnis ist zum einen die Arbeitsgrundlage für den betrieblichen Datenschutzbeauftragten. Zum anderen lässt sich mit ihm bei Überprüfungen belegen, dass die Datenschutz-Prozesse im Unternehmen korrekt ablaufen. Eine wichtige Rolle spielt in dieser Hinsicht die neu als zentraler Grundsatz eingeführte erweiterte Rechenschaftspflicht.
Auch wenn viele der befragten Unternehmen die europaweite Vereinheitlichung begrüßen und sich ein Drittel sogar konkrete Geschäftsvorteile erhofft: Die meisten gehen davon aus, dass Datenschutzpraxis und Datenschutzmanagement dadurch nicht nur komplizierter, sondern auch teurer werden. Die DS-GVO regelt künftig:
Als Gremium der deutschen Datenschutzbehörden hat der Düsseldorfer Kreis bereits Empfehlungen für den Umgang mit der DS-GVO verabschiedet. Bei Datenschutzexperten ist allerdings die darin enthaltene Ansicht zur Einwilligung zur Datenverarbeitung umstritten: Sie sehen Unternehmen, die sich daran halten, in eine Haftungsfalle laufen, da unbedingte Vorschriften der neuen Verordnung hier ignoriert würden, etwa der verpflichtende Hinweis auf Widerspruchsmöglichkeiten. Auch sei die Abfrage der Einwilligung kein Ersatz für Versäumnisse bei technischen und organisatorischen Maßnahmen.