Was ändert sich mit der neuen DSGVO?

Vier Jahre lang heftig diskutiert und debattiert, wurde im April 2016 die EU-Datenschutz-grundverordnung (DSGVO) verabschiedet. Die Verordnung trat 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft. Jetzt haben die einzelnen Länder bis Mai 2018 Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. Ab 25. Mai 2018 gilt die neue Verordnung EU-weit. Was ändert sich mit dem neuen Recht für Unternehmen?

Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung, verfügt die DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt nationales Datenschutzrecht. Viele Unternehmen fragen sich nun zu Recht: Wie geht es weiter? Was bleibt, was verändert sich? Welche Verbesserungen oder Herausforderungen bringt die DSGVO mit sich? Auch wenn es auf diese Fragen noch nicht alle Antworten gibt, steht eines fest: Betroffen sind von den Änderungen alle! Die EU schraubt an vielen Stellen:

1. Bußgelder
Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Halten sich Unternehmen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder bis zu 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder von bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden. Der Bußgeldkatalog ist bindend.

2. Nachweispflicht und Unterrichtung
Unternehmen müssen, wie bisher auch, wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management wird notwendig. Des Weiteren müssen Unternehmen betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder.

3. Datenschutz-Folgenabschätzung
Neu ist auch die Pflicht zur Datenschutz-Folgenabschätzung (DSFA). Wobei, so ganz neu ist das Thema nicht. § 4d Abs. 5 BDSG regelt die Vorabkontrolle. Aus Vorabkontrolle wird Datenschutz-Folgenabschätzung: Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Die sechs Schutzziele, wie Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, werden nicht nur aus der Unternehmensperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um die Organisation selbst. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.

4. Arbeitnehmerdatenschutz
Für den Arbeitnehmerdatenschutz gibt es eine nationale Öffnungsklausel. Das Bundes-ministerium des Innern (BMI) hat am 23. November 2016 einen zweiten Entwurf eines Gesetzes (BDSG-neu) zur Umsetzung der DSGVO vorgelegt. Mit § 24 BDSG-neu „Verarbeitung im Beschäftigungskontext“ wurde § 32 BDSG nahezu unverändert übernommen. Es bleibt abzuwarten, wie die Europäische Kommission die Regelungen der Öffnungsklauseln im BDSG-neu beurteilt. Der 2. Referentenentwurf wurde von fast allen Seiten heftig kritisiert.

Betriebsvereinbarungen sind weiterhin eine Alternative, setzen jedoch eine gute Zusammenarbeit mit dem Betriebsrat voraus. Firmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten: z. B. sollen von vornherein nur so viele personenbezogene Daten gesammelt und verarbeitet werden, wie es zur Erreichung des Zweckes konkret notwendig ist. Wenn immer möglich, sind diese Daten zu pseudonymisieren.

Was sollten Unternehmen jetzt (schon) tun?
Unternehmen sind gut beraten, sich bereits jetzt auf das Inkrafttreten der neuen DSGVO vorzubereiten. Unabhängig davon, wie Bestimmungen mit Öffnungsklauseln in der nationalen Umsetzung konkret ausformuliert werden, führt an der verschärften Regelung kein Weg vorbei. Damit es im Mai 2018 kein böses Erwachen gibt, sollten die betrieblichen Vorarbeiten baldmöglichst anlaufen – im Einzelnen bedeutet dies:

• Prüfen Sie bereits jetzt, welche Bereiche vom Abrechnungs- bis zum Warenwirtschafts-system im Unternehmen von der neuen Gesetzgebung betroffen sind.
• Erstellen Sie einen Plan. Legen Sie fest, was wann zu tun ist, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden?
• Führen Sie eine Risiko-Analyse durch. Welche Gefährdungen drohen dem Unternehmen?
• Planen Sie Ihre Ressourcen – sowohl im Hinblick auf Mitarbeiter als auch auf das Budget. Es gibt viele Veränderungen und Vieles wird anzupassen sein – dies alles verursacht (hohe) Kosten.
• Das neue Datenschutzgesetz sieht umfassende Rechenschafts- und Dokumentations-pflichten vor. Überlegen Sie, wie und mit welchen Mitteln Sie dies zukünftig gewährleisten können.
• Die DSGVO sieht vor, dass die meisten Unternehmen einen Datenschutzbeauftragten bestellen müssen. Unabhängig davon, wie der deutsche Gesetzgeber mit der Öffnungsklausel umgeht: Jetzt ist der beste Zeitpunkt, die interne Situation zu prüfen und sich rechtzeitig externe Unterstützung zu holen.
• Beginnen Sie rechtzeitig – einige Arbeitsschritte können schon jetzt umgesetzt werden.

Datenschutz ist kein Produkt, Datenschutz ist ein Prozess! Unter diesem Aspekt betrachtet, werden auch die Herausforderungen der Datenschutzgrundverordnung zu meistern sein.

von Regina Mühlich, Inhaberin von AdOrga Solutions in München

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.