„Höchste Zeit, den Datenschutz im Unternehmen (erneut) anzugehen“

Viele Unternehmen sind noch immer unzureichend vorbereitet auf die ab dem 25. Mai 2018 anwendbare EU-Datenschutzgrundverordnung (DSGVO) / Der Cluster IT Mitteldeutschland informiert, was bei den Anpassungen an das Datenschutzrecht zu beachten ist Datenschutz ist aktuell in aller Munde. Einer der wesentlichen Gründe: Die EU-Datenschutzgrundverordnung (DSGVO) ist nach der zweijährigen Übergangszeit seit ihrem Inkrafttreten ab dem 25. Mai 2018 anzuwenden und stellt ab diesem Zeitpunkt bindendes Recht dar. Sie bringt umfangreiche Veränderungen dahingehend mit sich, wie mit Daten im Unternehmen umzugehen ist. Dabei sind praktisch alle Unternehmen der DSGVO unterworfen. Ausnahmen wird es in der Praxis kaum geben. Der Cluster IT Mitteldeutschland e. V. rät daher dringend, das eigene Datenschutzmanagement zu überprüfen und an die Vorgaben der DSGVO anzupassen.

Dr. Heralt Hug, Vorstand des Clusters IT Mitteldeutschland e. V. und Partner bei CMS Hasche Sigle: „Die Bedeutung der DSGVO, gerade weil diese auch weit in operative Prozesse im Unternehmen eingreift, ist enorm. Es ist daher höchste Zeit, die eigenen Abläufe an die Vorgaben anzupassen. Dabei gilt, dass vieles dem Grunde nach nicht neu ist, aber der Teufel steckt im Detail, der konkreten Umsetzung und in einigen echten Neuerungen". So gilt zum Beispiel künftig das so genannte Marktortsprinzip. Das heißt, unabhängig davon, wo in der Welt die Daten verarbeitet werden oder wo das jeweilige Unternehmen seinen Sitz hat, ist die EU-Datenschutz-Grundverordnung bindend für alle Unternehmen, die im europäischen Wirtschaftsraum ihre Dienstleistungen anbieten.

Trotz der näher rückenden Frist von nur noch wenigen Tagen sind viele Unternehmen nach Erfahrung des Clusters IT Mitteldeutschland nicht ausreichend vorbereitet. „Wir beobachten in der Praxis leider, dass vor allem mittelständische Unternehmen die Vorgaben der EU-DSGVO gegenwärtig bei Weitem noch nicht vollständig und korrekt erfüllen“, sagt Andreas Liefeith, Leiter des Arbeitskreises IT-Sicherheit im Cluster IT und Leiter Marketing der procilon GROUP, „Es gibt momentan noch genügend Firmen, bei denen die DSGVO nicht einmal auf der Agenda steht. Viele sind sich wiederum durchaus der Bedeutung bewusst und bemühen sich um Anpassungen des praktisch gelebten Datenschutzes, tun sich aber bei der rechtssicheren Umsetzung schwer. Das ist insofern verständlich, da die DSGVO sehr vielfältige, sehr spezielle Regelungen beinhaltet, die für den Nichtjuristen häufig schwer zugänglich sind. Deshalb empfehlen wir, sich an dieser Stelle Rat zu holen und den Status Quo des eigenen Datenschutzes von einem Experten prüfen zu lassen.“

Gerhard Oppenhorst, ebenfalls Leiter des Arbeitskreises IT-Sicherheit im Cluster IT und Geschäftsführer ESC: „Interessant für Unternehmen, die noch nichts oder erst sehr wenig zur Erfüllung von EU-DSGVO und BDSG(neu) getan haben, ist eine Norm des VdS: VdS 10010. Diese Norm deckt die Anforderungen von EU-DSGVO und BDSG(neu) im für KMUs wichtigen Umfeld gut ab und hat den Vorteil einer recht einfachen und schlüssigen Struktur und einer deutlich einfacheren Sprache. Sie bietet damit gute Möglichkeiten, auch im Endspurt noch die wichtigsten organisatorischen Maßnahmen zu treffen und ist mit einem Regelungsumfang von nur ca. 5.000 Wörtern gegenüber ca. 50.000 Wörtern der DSGVO und den ca. 20.000 Wörtern des BDSG(neu) einfacher anzuwenden als eine selbständige Würdigung der DSGVO und des BDSG. Mittelfristig muss aber dennoch berücksichtigt werden, dass die Texte der DSGVO und des BDSG(neu) verbindlich sind und auch die Anwendung einer Norm wie der VdS 10010 nicht von der Prüfung entbindet, ob man Gesetze und Verordnungen vollständig erfüllt.“ Im Gegensatz zu ISO- und DIN-Normen ist der Text auch kostenlos zu bekommen:
https://vds.de/fileadmin/vds_publikationen/vds_10010_web.pdf

Grundsätzlich wirkt sich die DSGVO insbesondere auf folgende Bereiche und Themen aus, auf die Unternehmen bei Anpassungen im Datenschutz insbesondere achten sollten:

Interne Organisation

In fast allen Fällen schreibt die DSGVO die Ernennung eines Datenschutzbeauftragten vor. Nur Unternehmen unter zehn Mitarbeitern können überhaupt davon ausgenommen werden, aber auch für diese können Rückausnahmen bestehen. Nach einer Bestellung gilt es, klare Regelungen für Funktionen und Zuständigkeiten des Datenschutzbeauftragten festzulegen.

Weiterhin müssen Unternehmen künftig jederzeit einen Nachweis für datenschutzkonformes Arbeiten erbringen können. Die Unternehmen trifft also eine Beweislast hinsichtlich der Rechtmäßigkeit.

Die neue Verordnung schreibt außerdem die Führung eines Verfahrensverzeichnisses vor, wenn Unternehmen mehr als 250 Mitarbeiter haben, Risiken für die Rechte und Freiheiten betroffener Personen bestehen, sensiblen Daten verarbeitet werden oder die Datenverarbeitung regelmäßig erfolgt. Im Ergebnis dürfte somit fast jedes Unternehmen ein solches Verzeichnis führen müssen.

Klare Vorgaben macht die DSGVO auch zum Vorgehen bei Datenpannen. Diese sind innerhalb von 72 Stunden zu melden und bei Vorliegen bestimmter Voraussetzungen auch die betroffenen Personen zu informieren.

Werden im Unternehmen neue Verfahren zur Verarbeitung von Daten eingeführt, muss in Zukunft eine Datenschutz-Folgeabschätzung vorgenommen werden. Wenn sich dabei ein hohes Risiko für Betroffene herausstellt, ist es Pflicht, die Aufsichtsbehörden über das Verfahren zu informieren.

Wichtig ist auch: Unternehmen müssen künftig das so genannte „Recht auf Vergessenwerden“ gewährleisten. Demnach müssen Mechaniken implantiert werden, die eine vollständige Löschung von Daten, unabhängig von ohnehin notwendigen Löschungskonzepten, ermöglichen.

Die DSGVO wirkt sich weiterhin auf die so genannte Auftragsdatenverarbeitung aus, die vorliegt, wenn Dienstleister im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen. Auch hier sind unter Umständen Anpassungen an das neue Recht erforderlich.

Geschäftsverkehr

Aber nicht nur die internen Prozesse, sondern auch die eigenen Angaben im Geschäftsverkehr sind Änderungen unterworfen. Grundsätzlich müssen Informationen zum Datenschutz präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache formuliert sein. Eine erhebliche Erweiterung erfuhren die Vorgaben hinsichtlich der bestehenden Informationspflichten bei einer Erhebung von Daten. Hier sind weitergehende Angaben als bisher erforderlich.

Diesen Anforderungen müssen Unternehmen zukünftig gerecht werden. Das kann zum Beispiel die vorhandene Datenschutzerklärung, die AGBs oder Betriebsvereinbarungen betreffen. Anpassungen sind auch bei Einwilligungserklärungen vorzunehmen. Die DSGVO macht diesbezüglich deutlich strengere Vorgaben als es bisher üblich war: Werden personenbezogene Daten verwendet und genutzt, muss von den Betroffenen vorher eine eindeutige Einwilligung – mit Hinweis auf die Freiwilligkeit dieser Angabe und die jederzeit mögliche Widerruflichkeit der Einwilligung – eingeholt werden. Die neuen Vorgaben bezüglich der Erteilung einer Einwilligung zur Datenspeicherung und Verwendung wirkt sich auch auf das Thema Newsletter und andere Möglichkeiten der werblichen Kontaktaufnahme (z.B. über Social-Media-Kanäle) aus. Hier gilt es, unbedingt rechtssichere, d.h. den Vorgaben der DSGVO entsprechende, Einverständniserklärungen aller Adressaten einzuholen.

Besondere Aufmerksamkeit erfordert der Einsatz von Tracking-Tools im Onlinebereich. Bisher wurden deren Einsatz insbesondere auf die Regelung des § 15 Abs. 3 TMG gestützt. Nach einer aktuellen Stellungnahme der Datenschutzkonferenz (DSK) ist jedoch auch diese Regelung nach dem 25.05.2018 nicht mehr anwendbar. Auch für solche Maßnahmen ist eine den Anforderungen der DSGVO entsprechende Einwilligung erforderlich.