Neuerungen und Herausforderungen für die Wirtschaft

Im Wege der Digitalisierung werden Daten zunehmend zu einem wichtigen Gut der Wirtschaft. Dabei geht es nicht nur um Online-Handel oder autonomen Fahren von Kraftfahrzeugen sondern auch um gezieltes Setzen von Werbung im Internet. Diesen Hintergrund verfolgten Datenschützer vor geraumer Zeit.

Seit dem 25. Mai 2016 gilt die DSGVO, ab dem 25. Mai 2018 ist sie zwingend umzusetzen. Damit werden die Anforderungen an den Datenschutz enorm erhöht. Davon betroffen ist vor allem die Wirtschaft, sodass insoweit auf Unternehmen viel Arbeit zukommt.

Auch wenn Datenschutz bereits seit vielen Jahren Bestandteil unseres Rechtssystems ist, rüttelt die DSGVO erst nach und nach alle Betroffenen wach. So gaben im Rahmen einer am 19. September 2017 veröffentlichten, repräsentativen Befragung des Digitalverbandes Bitkom 33 % von rund 500 befragten Unternehmen an, sich noch gar nicht mit den Vorgaben der Verordnung beschäftigt zu haben. Und sogar nur 47 % der befragten Unternehmen hatten bis zum Zeitpunkt der Befragung lediglich höchstens 10 % aller notwendigen Arbeiten erledigt.

Schwierigkeiten bestehen dabei vordergründig bei den kleinen und mittleren Unternehmen. Der Kleinunternehmer, der bereits täglich mit unzähligen Rechtsnormen und bürokratischen Hürden kämpft, sieht sich nunmehr weiteren Anforderungen ausgesetzt, die er mangels Personal und Kosten kaum umzusetzen vermag. Damit einher geht die Sorge von Kontrollen durch die Aufsichtsbehörde bzw. von enorm hohen Bußgeldern betroffen zu sein, sofern er den Anforderungen nicht oder nur mangelhaft gerecht wird. Eine Erleichterung bzw. Ausnahme von bestimmten Regularien ist für kleine Unternehmen nur begrenzt vorgesehen, so z.B. bei der Bestellung eines Datenschutzbeauftragten oder aber der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.

Grundsätzlich ist in vielen Unternehmen kaum ausreichend qualifiziertes Personal vorhanden. 56 % der Unternehmen haben für den Datenschutz weniger als eine Vollzeitstelle eingeplant. Dies ergab eine weitere, ebenfalls vom Digitalverband Bitkom beauftragte repräsentative Befragung, die in einer Presseinformation vom 26.01.2018 ausgewertet wurde. Jedoch erfordert die Umsetzung der neuen Regularien sehr viel Zeit, da z.B. das Verzeichnis über die Verarbeitungstätigkeiten überprüft bzw. angepasst werden muss. Viele Unternehmen haben ein solches Verzeichnis bisher gar nicht geführt, obwohl es bereits nach der aktuellen Rechtslage Pflicht ist. Diese Unternehmen müssen ein solches Verzeichnis gänzlich neu anfertigen. Zudem beginnt nach der Analyse der datenschutzrechtlichen Prozesse die Anpassung von Verträgen. Sehr viel Zeitaufwand beanspruchen die Schaffung, Erhebung und Dokumentation der technischen und organisatorischen Maßnahmen. Dahinter verbergen sich Maßnahmen, die das Unternehmen zum Schutz von Informations- und Datensicherheit vornehmen muss. Spätestens zum Zeitpunkt der Anpassung der Verträge und der Beschreibung der technischen und organisatorischen Maßnahmen, auch TOMs genannt, werden spezifische Fachkenntnisse des Rechts und der IT benötigt. Die Konsultation oder aber Beauftragung eines Rechtsanwalts oder eines IT-Unternehmens geht allerdings mit Kosten einher, die ein Unternehmen zusätzlich belasten. Daher möchten viele Betroffene den Weg zur Bestellung eines externen Datenschutzbeauftragten gehen. Jedoch erscheint es aus Rückmeldungen, die die IHK Magdeburg erreichen, derzeit sehr schwierig zu sein, noch kurzfristig einen externen Datenschutzbeauftragten auf dem Markt zu finden.

Einige wesentliche Punkte, die von den Novellierungen betroffen sind, werden nachfolgend dargestellt:

Jedes Unternehmen sollte sich zunächst die Frage stellen, ob es einen Datenschutzbeauftragten braucht. Gemäß § 38 Absatz 1 des neuen Bundesdatenschutzgesetzes (kurz: BDSG neu) benennen Unternehmen ein/e Datenschutzbeauftragte/n, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weiterhin muss ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen benannt werden, wenn das Unternehmen Verarbeitungen vornimmt, die einer sog. Datenschutz-Folgenabschätzung unterliegen oder wenn es personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, verarbeitet. Der Datenschutzbeauftragte ist ab dem 25. Mai 2018 dem Landesbeauftragten für den Datenschutz in Sachsen-Anhalt zu melden.

Diese ist durchzuführen, wenn ein Unternehmen Verarbeitungen vornimmt, die voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten von Betroffenen einhergeht. Insoweit werden von den Aufsichtsbehörden Listen veröffentlich, aus denen erkennbar ist, wann eine solche Datenschutz-Folgenabschätzung vorzunehmen ist.

Sinnvoll ist es, das bereits bestehende Verzeichnis über die Verarbeitungstätigkeiten zu überprüfen. In diesem Verzeichnis ist zu einzelnen Prozessen eines Unternehmens der Weg der Daten im Unternehmen dokumentiert.

Zudem ist in dem Verzeichnis weiterhin zu vermerken, auf welcher Grundlage die Daten und zu welchem Zweck sie verarbeitet werden.

Daneben ist in dem Verzeichnis anzugeben, an welchen Empfänger sie ggfs. übermittelt werden. Bei der Übermittlung können Unternehmen den Anpassungsbedarf oder gar Abschluss von Verträgen mit den Empfängern überprüfen. Zudem dient die Dokumentation der Verarbeitungstätigkeiten der eigenen Überprüfung dahingehend, ob z.B. das ganze Unternehmen oder nur ein ausgewählter Kreis wie beispielsweise die Personalabteilung auf die Daten zugreifen kann. Dabei gilt: Je sensibler die Daten sind, desto weniger Personen sollten zum Zugriff berechtigt sein. Schließlich sind die sog. technischen und organisatorischen Maßnahmen zu analysieren und dokumentieren. Einen Vordruck mit Erläuterungen finden Unternehmen auf der Homepage des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt.

Die DSGVO zielt mit ihren Anforderungen auf ein Datenschutzmanagementsystem ab. Langfristig gesehen ist es sinnvoll, Datenschutz und Informationssicherheit sowie Qualitätsmanagement zu verknüpfen, da diese drei Bereiche ineinandergreifen. Ein solches Managementsystem basiert auf einer Richtlinie, die das Unternehmen für sich selbst erstellt und dabei Grundsätze des Datenschutzes regelt.

Technische und organisatorische Maßnahmen sind wesentliches Element, um einen Datenschutzstandard zu gewährleisten. Diese sind z.B. Schutz vor unbefugten Zutritt zum Unternehmensgebäude oder –gelände, passwortgeschützte IT-Systeme, die Vergabe von Berechtigungen (Personalakten kann nur die Personalabteilung einsehen), Firewalls, abgeschlossene Serverräume, das Durchführen von Backups, die datenschutzgerechte Vernichtung von Akten oder beispielsweise neuerdings ein Prozess zur Meldung von Datenschutzvorfällen im Unternehmen oder aber bei Auftragsdatenverarbeitern.

Bestehende Verträge, die die Auftragsdatenverarbeitung beinhalten, sollten auf Anpassungsbedarf überprüft werden. So sollte z.B. geregelt werden, wie bei Datenschutzverstößen zu verfahren ist und welche technischen und organisatorischen Maßnahmen der Vertragspartner erfüllen sollte, damit die neuen Regelungen eingehalten werden. Muster finden sich u.a. auf der Homepage der Gesellschaft für Datenschutz und Datensicherheit e.V.

Nach den Neuerungen haben Unternehmen nunmehr eine Reihe von Informationspflichten zu erfüllen. So müssen zum Zeitpunkt der Erhebung der Daten u.a. mitgeteilt werden: Name und Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des Datenschutzbeauftragten, die Grundlage der Verarbeitung sowie deren Zweck, die Kategorien von Empfänger, Drittlandübermittlungen, sämtliche Rechte des Betroffenen, die Dauer der Speicherung der Daten etc. Dies stellt die Unternehmen allerdings vor bürokratische Hürden hinsichtlich der Umsetzung.

Viele Unternehmen sind auf die Einwilligung des Betroffenen in die Datenverarbeitung angewiesen, da es z.B. keine gesetzliche Grundlage für die Verarbeitung gibt. Diese Einwilligungen sollten ebenfalls überprüft und angepasst werden.

Sehr wichtig ist ebenfalls die Überprüfung der Datenschutzerklärung auf Homepages. Dabei gilt es zu beachten, dass diese losgelöst vom Impressum dargestellt werden sollte. Dabei ist z.B. zu berücksichtigen, ob automatische statistische Auswertungstools, Social Plugins oder Cookies benutzt werden. Die Datenschutzerklärung auf einer Homepage ist öffentlich sichtbar und überprüfbar, weshalb Fehler sehr schnell für jedermann aufzufinden sind und rechtliche Konsequenzen nach sich ziehen können.