EU-Datenschutz-Grundverordnung kommt im Mai 2018 zur Anwendung: Der Countdown läuft

Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht das europäische Datenschutzrecht weitestgehend. Sie zielt darauf ab, die Grundrechte und -freiheiten natürlicher Personen zu schützen – besonders das Recht auf den Schutz personenbezogener Daten. Im Vergleich zum aktuell angewendeten Recht verändert sich einiges. Zudem erfordert die DSGVO zahlreiche neue Prozesse, die Unternehmen erst implementieren müssen. Gerade die neuen Transparenz- und Informationspflichten gegenüber betroffenen Personen, zur Dokumentation von Datenschutzprozessen, zur Datenportabilität, zum Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen oder zur Datenschutz-Folgenabschätzung erfordern einigen Umsetzungsaufwand in Unternehmen.

Marktortprinzip für personenbezogene Daten

Auch der räumliche Anwendungsbereich wird vergrößert. Es gilt das Marktortprinzip: Dient eine Datenverarbeitung dazu, betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen anzubieten oder deren Verhalten in der Europäischen Union zu beobachten (z.B. beim Web-Tracking) , muss sich die verarbeitende Stelle an die DSGVO halten – auch, wenn sie sich außerhalb der EU befindet. Und nicht zuletzt verschärft sich der Bußgeldrahmen bei Verstößen gegenüber dem bisherigen Recht drastisch: Unternehmen drohen in diesem Fall Geldbußen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welche Summe höher ist. Die Aufsichtsbehörden sollen zudem sicherstellen, dass die Geldbußen bei Verstößen „wirksam, verhältnismäßig und abschreckend“ sind.

Was ist zu tun?

Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss die DSGVO umsetzen. Bei der Umsetzung der DSGVO kann ein mehrstufiger Prozess helfen:

1. Erfassung des Status Quo an Datenverarbeitungen, Prozessen und Dokumentationen im Unternehmen, zum Beispiel:

• Welche Abteilungen verarbeiten welche Daten zu welchem Zweck und auf welche Weise? Wie lange werden diese Daten gespeichert? Welche Löschregeln gibt es?
• Was ist der Dokumentationsstand hinsichtlich der identifizierten Verarbeitungen? Liegen die entsprechenden Verfahrensverzeichnisse vor?

2. Abgleich des Status Quo mit den Anforderungen der DSGVO („Gap Analyse“), z.B.:

• Prüfung, ob es für jede festgestellte Datenverarbeitung eine Rechtsgrundlage gibt, die den Anforderungen der DSGVO entspricht. Das ist zum Beispiel der Fall, wenn eine Einwilligung vorliegt oder die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist (Art. 6 Abs. 1 (b) DSGVO). Fehlt eine Rechtsgrundlage, ist die entsprechende Datenverarbeitung unzulässig.
• Prüfung, ob Auftragsdatenverhältnisse bestehen (siehe Art. 28 DSGVO). In diesem Fall sind die Auftragsverarbeitungsverträge, die über den 25.05.2018 hinaus fortbestehen, an die Anforderungen der DSGVO anzupassen.
• Auflistung aller Verarbeitungstätigkeiten inklusive der von der DSGVO geforderten Angaben (Art. 30 DSGVO). Das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO enthält über das bisherige Recht hinausgehende Angaben.
• Einführung eines Datenschutzmanagementsystems, um die datenschutzkonforme Verarbeitung steuern und kontrollieren zu können. Zu diesem System gehören auch Standardprozesse zum Beispiel für die Dokumentation der Rechtsgrundlage oder die Erfüllung von Rechten der Betroffenen nach Art. 12 bis 21 DSGVO.
• Bringt eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich, muss der Verantwortliche vorab die Folgen der Verarbeitung abschätzen. Diese Abschätzung enthält unter anderem eine systematische Beschreibung der geplanten Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit und die geplanten Maßnahmen zur Bewältigung der Risiken (Art. 35 bis 36 DSGVO)

3. Priorisierung der umzusetzenden Maßnahmen („Impact Analyse“) und Erstellung eines Projektplanes für die Umsetzungsphase

Wettbewerbsvorteil DSGVO

Mit der neuen DSGVO kommen auf Unternehmen einige Herausforderungen zu – und der Stichtag im kommenden Mai ist nicht mehr weit entfernt. Aber die Verordnung birgt auch Chancen. Erstens kann die Neugestaltung von Prozessen genutzt werden, um diese Prozesse zu optimieren und so auf lange Sicht Zeit und Kosten zu sparen. Zweitens können Unternehmen einen Wettbewerbsvorteil daraus ziehen, dass sie die neuen Regelungen nicht einfach nur umsetzen, sondern zeigen, dass sie Daten nutzen, um zum Beispiel das Kundenerlebnis zu verbessern.

Nach wie vor herrscht auf Verbraucherseite noch eine große Skepsis, wenn es um die Weitergabe persönlicher Daten geht. Das zeigt die aktuelle Global-Trends-Studie des Marktforschungsinstituts Ipsos. Dort gaben 54 Prozent der Befragten an, dass sie sich unwohl fühlen, wenn sie diese weitergeben oder teilen. Aber vor drei Jahren betrug dieser Anteil sogar noch 63 Prozent – die Bereitschaft zur Datenweitergabe ist also gestiegen. Und eine repräsentative Umfrage im Auftrag des Vodafone Instituts für Gesellschaft und Kommunikation, bei der mehr als 8.000 Menschen in acht europäischen Ländern befragt wurden, ergab: Eine Mehrheit der europäischen Nutzer digitaler Dienste ist bereit, persönliche Daten zu teilen, wenn auf Seiten der Unternehmen Transparenz herrscht und es einen Mehrwert für den Verbraucher gibt.

Den finalen Text der Datenschutz-Grundverordnung finden Sie unter: https://dsgvo-gesetz.de/

Dieser Artikel soll in allgemeiner Weise über die DSGVO informieren. Er ist nicht als Rechtsberatung zu verstehen.

Autor: Redaktion Zukunft. Kunde.
Bild: scanrail  – Adobe Stock