Konkreter Handlungsbedarf für Unternehmen aufgrund der europäischen Datenschutzgrundverordnung
I. Wesentliche Änderungen durch Datenschutzgrundverordnung (DSGVO)
Die Datenschutzgrundverordnung (DSGVO) bringt gegenüber dem aktuell geltenden Bundesdatenschutzgesetz (BDSG) erhebliche Veränderungen, die sich in zentralen Unternehmensbereichen wie IT, Personal, Vertrieb, Recht und Compliance auswirken.
Ab 25.Mai 2018 müssen zwingend zusätzliche datenschutzrechtliche Anforderungen erfüllt werden. Zahlreiche Vorgaben sind zudem bußgeldbewehrt.
Wesentliche Änderungen zu der bestehenden Rechtslage sind insbesondere
1. Konkrete Dokumentations- und Nachweispflichten (Art. 5 DSGVO), die bußgeldbewehrte Rechenschaftspflichten über die Einhaltung der datenschutzrechtlichen Grundsätze begründen
2. Erweiterte Transparenzvorschriften (Art. 12 bis Art. 15 DSGVO), die umfangreiche Unterrichtungsrechte betroffener Personen und Auskunftspflichten vorsehen
3. Erweiterte Löschpflichten (Art. 17 Abs. 1 DSGVO), die gerade bei Kundendaten Beachtung finden sollten
4. Vorgaben zur Datensicherheit (Art. 32 DSGVO), die ein Bußgeldrisiko bei unzureichendem technischem Datenschutzniveau begründen
5. Erweiterte zivilrechtliche Haftung für Verantwortliche und für Auftragsdatenverarbeiter (Art. 82 DSGVO), die bei schuldhaftem Verstoß gegen die DSGVO Schadenersatzansprüche begründen können
6. Neue Überwachungspflichten und mögliche persönliche Verantwortlichkeit des Datenschutzbeauftragten (Art. 39 Abs. 1 lit. b DSGVO), bei deren Missachtung mögliche straf- und ordnungswidrigkeitenrechtliche Verantwortlichkeit gegen den Datenschutzbeauftragten drohen
7. Globale Anwendung der DSGVO (Art. 3 Abs. 2 DSGVO): mit der der räumliche Anwendungsbereich der DSGVO durch das „Marktortprinzip“ massiv erweitert wird
8. Erheblich erhöhte Bußgelder (Art. 83 DSGVO), die bei Unternehmen bis zu 4 Prozent des globalen Umsatzes, für beteiligte natürliche Personen Geldbußen bis zu 20 Millionen Euro bedeuten können
II. Konkrete Auswirkungen und notwendiger Handlungsbedarf
Aufgrund der neuen Regelungen müssen wesentliche Datenverarbeitungsprozesse und -systeme rechtzeitig auf Vereinbarkeit mit DSGVO geprüft, diese teilweise zwingend dokumentiert und nötigenfalls bis spätestens 25.Mai 2018 angepasst werden. Dies betrifft insbesondere
1. Erhebung und Verarbeitung von Mitarbeiterdaten
– Anpassung bestehender Betriebsvereinbarungen
– Erstellung der Dokumentation zur Einhaltung der DSGVO
– Prüfung der aktuellen Erhebung und Verarbeitung von Personaldaten
– Prüfung und Anpassung der Datenverarbeitungssysteme
2. Erhebung und Verarbeitung von Kundendaten
Anpassung bestehender Einwilligungserklärungen und Erstellung der Dokumentation zur Einhaltung der DSGVO, insbesondere bezüglich der Zulässigkeit der Datenverarbeitung im Rahmen des eigenen Customer Relationship Management (CRM) und der technischen Ausgestaltung des CRM Systems
3. Datenerhebung und -verarbeitung im Rahmen bestehender und zukünftiger Produkte
– Überarbeitung der Datenschutzerklärungen auf den eigenen Internetpräsenzen und etwaiger Einwilligungserklärungen zur Verarbeitung personenbezogener Daten
4. Ausgestaltung der zentralen IT
– Erstellung notwendiger Auftragsdatenverarbeitungsverträge (z.B. mit Drittdienstleistern)
– Abschluss von EU-Standardvertragsklauseln bei Datenübertragung in die USA
– Erstellung der Dokumentation zur Einhaltung der DSGVO (insbesondere bezüglich der Nutzung von Cloudangeboten)
5. Datenverarbeitung bei und mit Auslandsgesellschaften (in und außerhalb EU)
– Bisheriges Vollstreckungsdefizit bei einigen nationalen Datenschutzvorschriften wird mit Geltung des einheitlichen Standards der DSGVO wohl europaweit abgelöst werden
– Schaffung von (bisher fehlenden) Mindeststandards zur Gewährleistung Datenschutz und Datensicherheit bis zur Geltung der DSGVO dringend erforderlich
– Einheitliche Betrachtung führt u.U. zu Einsparungen von Ressourcen
III. Zusammenfassung
Die DSGVO statuiert wesentlich neue Prüf- und Dokumentationsanforderungen, deren Nichterfüllung regelmäßig bußgeldbewehrt sind.
Nach der DSGVO sollen die Aufsichtsbehörden ausdrücklich sicherstellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind. Es ist deshalb davon auszugehen, dass die Aufsichtsbehörden bei den ab Mai 2018 zu erwartenden (anlasslosen) Prüfungen bei Missachtung der DSGVO auch entsprechende der Unternehmensgröße angepasste Bußgelder aussprechen.
Aufgrund der kürzlichen Einführung des Unterlassungsklagegesetzes (UKlaG) bzw. der jüngeren Rechtsprechung, nach der Datenschutzverstöße unter bestimmten Voraussetzungen auch Wettbewerbsverstöße darstellen, steigt bei Missachtung der Vorgaben der DSGVO zudem das Risiko von Verbraucherschutzverbänden oder Wettbewerbern für entsprechende Verstöße gegen Datenschutzrecht abgemahnt zu werden.
Angesichts der knappen Zeit ist Unternehmen zu empfehlen, die notwendigen Veränderungen zeitnah umzusetzen. Dies erfordert vor allem die Überarbeitung spezifischer Dokumente (Betriebsvereinbarungen, Einwilligungserklärungen u.ä.), die Erstellung der notwendigen Dokumentation zur Erfüllung der Rechenschaftspflichten. Neben der Anpassung von Arbeitsabläufen und IT-Systemen wird ansonsten vor allem die Einführung effektiver Datenschutz Management Systeme eine erhebliche Rolle spielen.
Die Überprüfung der vorstehend aufgeführten Datenverarbeitungsprozesse und -systeme lässt ein strukturiertes Vorgehen erforderlich erscheinen.
Im Hinblick auf den anstehenden Prüfungs- und Dokumentationsbedarf bzw. erheblichen Rechtsfolgen erscheint es kaum vertretbar, nicht zumindest die Einhaltung der wesentlichen Anforderungen der DSGVO mit der notwendigen Sorgfalt zu prüfen bzw. mit den notwendigen Maßnahmen umzusetzen.
Dr. Carsten Ulbricht
M.C.L.
Rechtsanwalt, Bartsch Rechtsanwälte, Stuttgart
www.bartsch-rechtsanwaelte.de