In diesem Fall stimmt dies ohne Frage: Im Mai 2016 trat die sogenannte EU-Datenschutzgrundverordnung (DSGVO) in Kraft und regelt nach einer 2-jährigen Übergangszeit dann ab dem 25. Mai 2018 den Umgang mit personenbezogenen Daten von Kunden, Partnern und Mitarbeitern. Da es sich um eine EU-Verordnung handelt, gilt das alte Bundesdatenschutzgesetz (BDSG) nicht mehr. Zwischenzeitlich ist ein neues BDSG verabschiedet worden, welches die nationalen Regelungsmöglichkeiten der EU-Verordnung aufgreift und die DSGVO für deutsche Verhältnisse ein wenig konkreter und handhabbarer macht. Ab Mai 2018 gilt somit primär die DSGVO EU-weit mit ihren nationalen Ergänzungen in Deutschland.
Die DSGVO stärkt die Rechte der Betroffenen und erlaubt in moderater Form eine weitergehende Verarbeitung von Daten, sofern die vorgegebenen Spielregeln eingehalten werden, und zwar EU-weit.
Wer ist betroffen?
Die Datenschutzgrundverordnung trifft jedes Unternehmen, welches personenbezogene Daten verarbeitet und in der europäischen Union (EU) tätig ist. Für die Anwendbarkeit muss das verarbeitende Unternehmen nicht zwingend in der EU beheimatet sein. Es reicht aus, wenn es Angebote in der EU platziert. Es gilt letztlich für alle Verarbeitungsformen, bei denen Daten elektronisch verarbeitet werden, adressiert aber auch in Teilen die nichtelektronische Verarbeitung.
Immer dann, wenn Sie also personenbezogene Daten über Ihre Kunden, Ihre Partner oder auch Mitarbeiter speichern, müssen Sie die Regelungen der DSGVO beachten.
Was regelt die DSGVO aus Sicht der Betroffenen?
Daten über Menschen, ihre Lebensumstände, ihre Bewegung und ihre Interessen werden zunehmend zum Treibstoff einer digitalen Welt und bilden die Basis für vielfältige, teils innovative Geschäftskonzepte. Damit entstehen aber auch neben einem entsprechenden Nutzen für die Menschen Gefahren und Einschränkungen für Betroffene. Plötzlich ist der Online-Zugang zum Bankkonto weg oder die kurzfristige Umbuchung für das Urlaubshotel klappt nicht. Auch kriminelle Machenschaften durchdringen das Netz, denen viele Teilnehmer weitgehend hilflos ausgeliefert sein können. Stellen Sie sich nur einmal vor, Ihr PayPal-Konto oder ihr Amazon-Zugang wäre für einen Dritten zugänglich. Sie bezahlen, andere profitieren. Fatal wäre auch, wenn über Sie oder in Ihrem Namen falsche Behauptungen im Netz auffindbar wären oder neben Ihrer Anschrift auch Ihre Urlaubsplanung, mit der Sie dann ungebetene Gäste einladen.
Letztlich läuft alles darauf hinaus, dass Ihre persönlichen Daten geschützt werden müssen.
Was bedeutet die DSGVO für die Unternehmen?
Ohne Daten, Informationen und elektronische Kommunikationsmittel sind viele Geschäftsprozesse heute nicht mehr möglich. Dieser Trend wird sich in Zukunft durch die fortschreitende Digitalisierung noch weiter verstärken. Insofern ist ein Ziel der DSGVO, den freien Verkehr personenbezogener Daten für die vielfältigen Angebote der Zukunft und ihrer digitalen Prozesse nicht einzuschränken. Der notwendige Schutz soll aber gegeben sein. Die Unternehmen haben nun die Verantwortung, die notwendigen Schutzmaßnahmen in ihre Prozesse einzuziehen und so zu gestalten, dass sie jederzeit die Einhaltung der Anforderungen aus der DSGVO nachweisen können. Dies betrifft in erster Linie die folgenden Handlungsfelder:
◗ Die Verarbeitung der personenbezogenen Daten muss rechtmäßig sein. Dabei gilt weiterhin das bisherige Prinzip: „Alles was nicht explizit erlaubt ist, ist verboten.“ (Verbot mit Erlaubnisvorbehalt).
◗ Die Rechte der betroffenen Personen werden ausgeweitet. Insofern betrifft dies auch die bereitzustellenden Informationen im Rahmen von Anbahnungs- und Abwicklungsprozessen.
◗ Die Einbeziehung von Dienstleistern ist neu zu bewerten und muss in Teilen vertraglich ergänzt werden. Dies betrifft insbesondere die Bereiche Haftung und Mitwirkung bei der Verarbeitung.
◗ Als Unternehmen muss ich jederzeit nachweisen können, dass ich die notwendigen Maßnahmen zur Einhaltung der aus der DSGVO resultierenden Anforderungen getroffen habe und dass diese dem Stand der Technik entsprechen.
◗ …
Eine ganz wesentliche Maßnahme ist und bleibt in Deutschland die Benennung eines Datenschutzbeauftragten. Hier bleibt es bei den bisherigen Rahmenbedingungen. So ist ein Datenschutzbeauftragter dann zu ernennen, wenn sich 10 oder mehr Personen überwiegend mit der Verarbeitung von personenbezogenen Daten Ihrer Kunden, Ihrer Mitarbeiter oder Ihrer Partner beschäftigen.
Welche Konsequenzen sieht die DSGVO vor?
Damit die DSGVO kein zahnloser Tiger bleibt, werden die möglichen Bußgelder massiv angehoben. Sie können bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten (Konzern-)Umsatzes betragen.
FAZIT: Nehmen Sie die DSGVO nicht auf die leichte Schulter und beschäftigen Sie sich schon heute mit den Auswirkungen auf Ihr Unternehmen. Zentrales Element wird hier ein praxistauglicher Umgang mit den Regelungen der DSGVO sein. Insbesondere die an die Unternehmen gerichteten Dokumentations- und Nachweispflichten bilden neben der Einhaltung der Betroffenenrechte eine erhebliche Herausforderung.
■ Johannes Schlattmann