Die Europäische Datenschutz-Grundverordnung: Was Unternehmen jetzt beachten müssen

Zeitlich wird es eng: Seit 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) bereits auf dem Tisch. Bis zum 25. Mai 2018 wird sie nun in nationales Recht der Mitgliedstaaten überführt. Dann sind die Bestimmungen in Deutschland bindend. Dies gilt für kleine und mittelständische Unternehmen genauso wie für internationale Konzerne, die hier Kundendaten bzw. den Besucher-Traffic auf ihren Webseiten erheben und auswerten. Die wenigen verbleibenden Monate sollten von allen Akteuren, die mit fremden Daten umgehen, ausgesprochen intensiv genutzt werden.

Immerhin ist die aktuelle Studienlage bezüglich der Vorbereitungen auf den Stichtag nicht eben beruhigend. Wie das Marktforschungsunternehmen Vanson Bourne im Frühjahr dieses Jahres im Veritas 2017 GDPR Report ermittelte, betrachtet sich noch etwas weniger als die Hälfte der befragten deutschen Betriebe hinreichend auf die DSGVO präpariert.

Unternehmens-Echo: Es steht einiges auf dem Spiel

Bekannt ist, dass es sich bei der Grundverordnung nicht um einen zahnlosen Tiger handelt, da bei Verstößen Strafzahlungen bis zu 20 Millionen Euro bzw. vier Prozent vom Jahresumsatz anfallen können – die jeweils höhere Summe ist dabei ausschlaggebend. Darüber hinaus werden in nicht wenigen Fällen der zitierten international angelegten Studie Imageschäden für Marke und Unternehmen befürchtet. Negativ-Folgen könnten gemäß der erhobenen Unternehmereinschätzung Stellenabbau oder sogar das Verschwinden vom Markt sein (meinten immerhin 18 % der Befragten). Zwar wurden Unternehmen ab 1000 Mitarbeiter befragt, jedoch dürfte die Risiko-Situation bei kleineren Unternehmen noch gravierender sein.

Grund: Es bedarf allein schon einiger finanzieller Aufwendungen, um Problemen hinreichend vorzubeugen. Viel mehr an Kapitalanstrengung wird aber benötigt, um für Pannen im Ernstfall grade zu stehen. Die Großen können es, wie die erwähnten Befürchtungen zeigen, zwar auch nicht aus der Portokasse nehmen. Aber sie sind in der Regel doch noch anders aufgestellt, um finanziell einen Datenschutz-Gau aufzufangen.

Wo es empfindlich haken kann

In Tiefenanalysen stellen sich unter anderem als Kernproblematik die Betroffenenrechte dar, die Kunden hinsichtlich ihrer archivierten Daten beanspruchen können. 39 Prozent der von Vanson Bourne befragten Unternehmen gaben zu verstehen, dass sie „nicht immer wissen können, wo sich all ihre Kundendaten befinden“.  Die Problematik hängt wesentlich mit der Vielfachverknüpfung beteiligter Datensätze in verschiedenen Programmen (Referenzierung) zusammen. Auch werden immer mehr Speicherkapazitäten aufgebaut. In allen Fällen vor sich her geschobener Überprüfung der Archiv-Prozesse gilt es somit, umgehend Planungsschritte einzuleiten und gezielt technische Lösungen zu erarbeiten, die wirksam Abhilfe schaffen.

Die erwähnten Zusammenhänge dürften umso mehr Problemrelevanz aufweisen, wenn Daten an Partnerfirmen weitergegeben werden. Heikel kann es hinsichtlich Compliance-Erfüllung auch sein, für das Testing der Sicherheits-Situation Echtdaten zu nehmen. Insgesamt ist also das Gebot für die letzte verbleibende Zeit, sich wirklich umfangreich zu informieren und den einen oder anderen Kraftakt auch auf Prozess-Ebene hinzulegen, um wirklich fit für die teils recht komplexen Bestimmungen zu werden.

Gründlich informiert vorgehen

Wenigstens gibt es bereits einen offiziellen 10-Punkte-Leitfaden von behördlicher Seite unter dem Titel „Datenschutz bleibt Chefsache“. Um zu verstehen, was spezielle Punkte im Einzelnen bedeuten, wird es Sinn machen, an fachlich fundierten Seminaren bzw. Webinaren teilzunehmen, Experten-Whitepapers im Netz zu beachten und ggf. zusätzlich anwaltlichen Rat einzuholen, wenn man sich nicht in letzter Konsequenz schlüssig ist. Wir selbst stellen Ihnen informative Checklisten für Geschäftsführung, HR und Finanzbuchhaltung zur Verfügung, die Sie kostenlos downloaden können. Hier erhalten die Verantwortlichen wichtige Hinweise, wie mit der DGSVO umzugehen ist.  Insgesamt können Chefs, Fachbereiche und Datenschutzbeauftragte sich so anhand ausführlicher Materialien selbst einen wichtigen Überblick verschaffen.

Zentrale Faktoren im neuen Datenschutzrecht

Gemäß Erhebungsstand hinkt eine Reihe deutscher Unternehmen zwar hinterher, was den aktuellen Vorbereitungsstandard betrifft. Andererseits weist die hiesige Compliance-Kultur ein im internationalen Vergleich hohes Niveau auf. Deutsche Datenschutzbestimmungen wurden daher in vielerlei Hinsicht zum Modell für die EU-Grundverordnung. Neu ist unter anderem das „Recht des Kunden auf Vergessen“ seiner archivierten Daten. Es handelt sich um eine Bestimmung, aufgrund der sich eine komplette Löschung verlangen lässt. Auch muss nicht mehr die Behördenseite bzw. eine zuständige Gerichtsbarkeit nachweisen, dass Verstöße gegen Datenschutz vorliegen. Umgekehrt haben die Unternehmen regelmäßige Dokumentationen zu erstellen, dass sie ihren Datenschutzbestimmungen nachkommen. Es gibt Besonderheiten für den Schutz von Mitarbeiter-Daten, für die Inanspruchnahme von Datenverarbeitungsdienstleistern (im Falle von IT-Outsourcing) sowie veränderte „Opt-in“-Regularien, wie genau es Internet-Nutzern zu ermöglichen ist, etwa Zustimmung zum Erheben ihrer Daten zu erteilen.

Was ist wie bisher und gibt es auch Vorteile für Unternehmen?

Gleich geblieben sind das schon gemäß bisherigem deutschen Recht bestehende Prinzip der Zweckbindung von Daten, der Datenminimierung (so wenig vertrauliche Daten wie möglich zu erheben) und der Datentransparenz. Dabei haben sich jedoch die Bewertungskriterien verschärft. Es gibt hierzu einen ausführlichen Detail-Katalog, den der Digitalverband Bitcom unter dem Titel „Was muss ich wissen zur Datenschutzgrundverordnung?“ FAQ herausgegeben hat. Die Frage bleibt indes: Ist das alles nur anstrengend und aufgrund von Zeit und Aufwand auch teuer? Für Unternehmen liegen Vorteile des neuen Datenschutzrechts immerhin in einer EU-weiten Harmonisierung und bei einigen Punkten in mehr rechtlicher Klarheit. Bei Zusammenarbeit mit global aufgestellten Unternehmen gilt jetzt eindeutig das EU-Recht. Außerdem können sich aus den erhöhten Compliance-Anforderungen längerfristig Standortvorteile in Richtung Image-Faktoren für den internationalen Wettbewerb ergeben.

Tipp: E-Book informiert über die EU-DSGVO

Die wichtigsten Informationen zum Thema EU-Datenschutz-Grundverordnung und was sie für Unternehmen bedeutet, finden Sie zusammengefasst in unserem E-Book „Die Uhr tickt: Die EU-Datenschutzgrundverordnung kommt!“, dass Ihnen kostenlos zur Verfügung steht (Siehe nebenstehenden Download).