Der Countdown läuft 19.03.2018, 08:11 Uhr

Noch 2 Monate bis zur DSGVO: Das ist jetzt zu tun

Ende Mai tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Was können Unternehmen, die sich darauf bislang nicht vorbereitet haben, jetzt noch tun?
(Quelle: shutterstock.com/Kb-photodesign; Ket4up)
Von Hajo Rauschhofer
Es hat an Hinweisen nicht gefehlt: Seit über einem Jahr thematisieren ­Anwälte, Verbände und nicht zuletzt Fachmedien die EU-Datenschutz-Grundverordnung (DSGVO). Vor über einem Jahr schrieb der Autor in diesem Heft (Ausgabe 1/17) "DSGVO: Die Zeit drängt" - ein Hinweis darauf, dass etwas mehr als ein Jahr für die Umsetzung der nach der EU-Datenschutz-Grundverordnung erforderlichen Prozesse und Dokumentationspflichten schon recht knapp bemessen ist.
Doch vielen Unternehmen scheint der Ernst der Lage nicht bewusst zu sein. ­Aktuell melden sich viele Klienten in der Kanzlei des Autors, die - offenbar mit großem Vertrauen in ihre Leistungsfähigkeit gesegnet - sich erst jetzt so richtig mit der Umsetzung der Datenschutz-Anforderungen befassen. In der Regel handelt es sich dabei um mittelständische Unternehmen. Viele Geschäftsführer und ­Vorstände beginnen zu erkennen, dass die ­DSGVO nicht nur ein zahnloser Bürokratie-Tiger ist, sondern sowohl Gesetzgeber als auch Behörden es ernst mit der Einhaltung des Datenschutzes meinen. Und die Manager sind alarmiert, denn bei Datenschutzverstößen können sie persönlich haftbar ­gemacht werden.
Eine datenschutzkonforme Umsetzung aller Themen und Prozesse im Unternehmen innerhalb von drei Monaten dürfte in der Regel kaum noch darstellbar sein. Doch was lässt sich bis zum 25. Mai noch bewältigen? Dieser Artikel soll dabei helfen, über einen Maßnahmenplan strukturiert und effektiv zu handeln, um wenigstens die größten datenschutzrechtlichen Fehler und damit die immer wieder zitierten Bußgelder zu vermeiden. Und die können schmerzliche Dimensionen erreichen. Es drohen bei mittelschweren Verstößen Bußgelder von bis zu zwei Prozent des jährlichen Konzernumsatzes oder bis zu zehn Millionen Euro. Bei schweren Verstößen können diese verdoppelt werden.

Die Verhängung von Bußgeldern

Wahrscheinlich werden Datenschutz­behörden bei der Verhängung von Bußgeldern nicht lange fackeln, da vom Inkrafttreten bis zur Umsetzung durchaus Zeit war, datenschutzkonforme Systeme zu etablieren. Das Kohärenzprinzip wird dazu führen, dass Datenschutzbehörden in Europa einheitlich Bußgelder verhängen werden, sodass nicht zuletzt auch hier mit verschiedenen "Leuchtturm"-Verfahren mit abschreckenden Bußgeldern zu rechnen sein wird.
Der Umfang der Maßnahmen, die umgesetzt werden müssen, hängt davon ab, in welchem Geschäftsbereich ein Unter­nehmen tätig ist, welche Art von Daten, insbesondere sensible Daten, verarbeitet werden und auch wie groß die Sichtbarkeit bestimmter Prozesse nach außen ist. Es spielt auch eine Rolle, ob ein Unternehmen beispielsweise als IT-Dienstleister für Kunden agiert.
Bezogen auf Webportale und Online Shops bedeutet dies: Sie verarbeiten personenbezogene Daten von Nutzern, daher sind sämtliche Anforderungen an Datenschutzerklärungen, Anforderungen bezüglich einer informierten Einwilligung bis hin zu Löschungskonzepten - und ­Informationen darüber - rechtzeitig ­umzusetzen.
Webshop-Betreiber, die sich nicht ­datenschutzkonform verhalten, müssen nicht nur mit Ärger von den Datenschutzbehörden und von etwaigen Mitbewerbern rechnen, die etwaige Verstöße ­anprangern und Abmahnungen schicken. Über die "klassischen" ­Bußgeldtatbestände hinaus sei auch auf das nunmehr kodifizierte Recht verwiesen, aus dem sich die Forderung nach materiellem oder immateriellem Schadensersatz gegen Verantwortliche oder auch deren Auftragsverarbeiter ergibt. Es besteht somit zu befürchten, dass es hier zu einer Vielzahl von Einzelverfahren gegen ein Unternehmen kommen kann, verhält dieses sich nicht datenschutzkonform.

Bußgelder bei Verstößen auch gegen die Dienstleister

Wichtig ist für alle Beteiligten auch zu wissen, dass nicht nur das Unternehmen selbst, sondern nach neuem Recht auch der Auftragsverarbeiter für die Einhaltung datenschutzrechtlicher Vorschriften haftet. Während sich früher IT-Dienstleister als Auftragsverarbeiter (früher Auftragsdatenverarbeiter genannt) noch zurücklehnten, weil die Haftung den Auftraggeber traf, so können nun dieselben Bußgelder bei Datenschutzverstößen auch gegen die Auftragsverarbeiter verhängt werden. Jeder Dienstleister, erst recht jeder Hoster, ist also gut beraten, sich um den Datenschutz seiner Kunden zu kümmern.

Was ist in der verbleibenden Zeit noch möglich?

Zunächst bedarf es einer dezidierten Risikoanalyse mit einer Bestandsaufnahme von Prozessen und Verfahren. Jedes Unternehmen hat zu untersuchen, welche Daten über welche Systeme verarbeitet werden. Gemeint ist hier tatsächlich die Verarbeitung auf Datenfeldebene, da sich hier bereits die Frage der Notwendigkeit für den relevanten Zweck ergibt. Unter den Schlagwörtern Privacy by Design und Privacy by Default ist nämlich gemeint, dass der Verantwortliche den Datenschutz durch datenschutzfreundliche Voreinstellungen sicherzustellen hat, dass nur die personenbezogenen Daten verarbeitet werden, die für den konkreten Zweck ­erforderlich sind.
Bei Online Shops stellt sich vor diesem Hintergrund die Frage, welche Datenfelder tatsächlich für einen Bestellvorgang gerechtfertigt sind. Kennt man den Umfang der personenbezogenen Daten und Datenfelder, ist zu untersuchen, auf welchen Systemen mit welcher IT-Architektur diese verarbeitet werden, vor allem durch wen - und wer darauf Zugriff hat.
Ebenfalls erforderlich ist die Schaffung eines Datenschutzmanagementsystems, das umfangreiche Anforderungen an die Dokumentation und Implementierung von Regeln, Prozessen und Maßnahmen enthält. Ohne alle zu nennen, gehört hier das Verzeichnis von Verarbeitungstätigkeiten und das IT Sicherheitsmanagement genauso dazu wie ein Berechtigungs-, ein Löschungs- oder auch ein Meldekonzept bei Datenschutzverstößen. Weitgehend unbeachtet ist bislang der als Ergänzung zur DSGVO neu aufgenommene § 77 BDSG, wonach der Verantwortliche eine Möglichkeit schaffen muss, dass ihm vertrauliche Meldungen über Datenschutzverstöße zugeleitet werden müssen, also eine Whistleblower-Vorschrift.

Dokumentation und Rechenschaftspflicht

Setzt man sich also mit den Grundanforderungen an Dokumentationspflichten mit den genannten Aspekten auch des ­Datenschutzrisikomanagements auseinander, sollte eine Task Force zusammen­gestellt werden, die sich als Projektteam nunmehr konzentriert mit der Umsetzung der DSGVO beschäftigt.
Hier bedarf es neben der Festlegung von Projektzielen und der Bestandsaufnahme auch einer Gap-Analyse, das heißt eines strukturierten Abgleichs des Ist-Zustands mit dem Soll-Zustand. Dieses Projektteam muss den Datenschutzbeauftragten einbinden, gegebenenfalls auch den Betriebsrat; etwaige Betriebsvereinbarungen sind anzupassen.
Sobald die Handelnden und deren Verantwortlichkeiten definiert und über die Gap-Analyse der Anpassungsbedarf ermittelt wurde, geht es in die Planung neuer Prozesse und Strukturen, zumindest aber an die Ad-hoc-Anpassung der Einzelprozesse.

Die EU-Datenschutz-Grundverordnung (DSGVO) ist kein Gesetz, sie ist eine Verordnung. Deshalb muss sie auch nicht in nationale Gesetze gegossen werden, sie tritt einfach in Kraft, und zwar am Freitag, den 25. Mai 2018. Diese 9 Facts solltet ihr über die DSGVO wissen.

Externe Leistungen und Auftragsverarbeitung

In der Praxis zeigt sich immer wieder, dass, sei es durch Pflege und Support, sei es durch Hosting oder auch durch Nutzung externer Software as a Services, personenbezogene Daten von Dritten verarbeitet werden. Hier handelt es sich regelmäßig um Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Diese Auftragsverarbeiter müssen, wie der Verantwortliche auch, bestimmte Sicherheitsanforderungen bezüglich der Verarbeitung ­gewährleisten, allen voran technische und organisatorische Maßnahmen (kurz "TOMs"). Artikel 28 Absatz 3 schreibt vor, dass eine Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrags zu erfolgen hat, der insbesondere die in diesem Absatz genannten Regelungs­inhalte aufweist.
Hier sollte jedes Unternehmen große Sorgfalt walten lassen, ­insbesondere dann, wenn es sich um ­außereuropäische Unternehmen handelt. Während man bei der durch den Verantwortlichen selbst durchzuführenden Risikoeinschätzung durchaus bei einzelnen "Stellschrauben" zur Bewertung der Risiken noch unterschiedlicher Auffassung sein kann, lässt sich über das Erfordernis und den Inhalt einer Vereinbarung über Auftrags­datenverarbeitung auch mit der dann zuständigen Datenschutzbehörde nicht ernsthaft diskutieren. Speziell solche Themen werden sicherlich in ­Zukunft sehr aufmerksam beobachtet und im Verletzungsfalle unmittelbar mit spürbaren Bußgeldern sanktioniert werden.

Risikopriorisierung in der verbleibenden Zeit

Entsprechend der Risikopriorisierung über die Höhe von zu erwartenden Bußgeldern sollten die Verantwortlichen in der verbleibenden Zeit realistisch definieren, welche Gegenstände der Datenverarbeitung als kritisch einzustufen sind, und diese entsprechend hoch priorisieren. Dies kann beispielsweise zunächst einmal die umfangreich zu fordernde Dokumentation des Datenschutzmanagementsystems mit ­ihren einzelnen Inhalten wie Verfahrensverzeichnis, Sicherheitskonzept, Berechtigungskonzept, Löschungskonzept, Meldekonzept oder bei sensiblen Daten auch die Datenschutz-Folgeabschätzung sein.
Bei Unternehmen mit mehr als zehn Personen, die mit der Datenverarbeitung ­betraut sind, muss ein Datenschutzbeauftragter benannt werden: Er sollte hier vollständig mit einbezogen werden.
Es empfiehlt sich weiter, die entsprechenden Unterlagen auch so aufzubereiten und zu versionieren, dass diese für die jeweiligen Prozesse effektiv fortgeschrieben werden können. Erste Angebote von Tools finden sich hierzu im Markt. Zu überlegen ist auch zur Abfederung fehlender Skills und/oder Ressourcen, hier ­externe Berater einzubeziehen. Mit Blick auf die hohen Bußgeldandrohungen dürfte deren Vergütung relativ günstig sein.

Gravierende Verletzungstatbestände

Sind dann die Gegenstände höchster Priorität umgesetzt, um wenigstens gravierende Verletzungstatbestände möglichst vollständig zu vermeiden, geht es in einem zweiten Schritt um die Anpassung der im Rahmen der Gap-Analyse noch offenen Themen.
Natürlich ist die Zeit knapp, aber ein mittelständisches Unternehmen kann es durchaus noch schaffen, bis zum Stichtag des Inkrafttretens die wesentlichen Datenschutzthemen abzuarbeiten, um zumindest weitestgehend datenschutzkonform am Markt tätig sein zu können. Dies erfordert indes ein konzen­triertes und fokussiertes Vorgehen mit ­einem gut organisierten und fachlich versierten Team. Abwarten und Tee trinken ist dagegen die falsche Strategie. Denn ­einem Unternehmen, das so handelt, werden die Datenschutzbehörden im Falle gravierender Datenschutzverstöße wahrscheinlich nicht mehr Fahrlässigkeit zubilligen, sondern Vorsatz unterstellen.



Das könnte Sie auch interessieren