Interview mit Herrn Rechtsanwalt Philipp Frenz, Senior Consultant Datenschutz und Compliance zu den Auswirkungen der neuen EU-Datenschutz-grundverordnung (EU- DSGVO).
Im Moment befindet sich der Datenschutz in der EU im Umbruch. Nach fast vier Jahren Verhandlungen ist am 25. Mai 2016 die EU-DSGVO in Kraft getreten und löst die bisher geltende EU-Datenschutzrichtlinie aus dem Jahre 1995 ab. Welche konkreten Folgen die neuen Vorgaben im Datenschutz haben und wie sich Unternehmen am besten darauf vorbereiten soll in diesem Gespräch im Vordergrund stehen. Aber nicht nur Reformen im Datenschutz machen den Unternehmen zu schaffen, sondern auch aktuelle Entwicklungen im Zuge des BREXIT.
CCS: Eine kurze Frage aus aktuellem Anlass: Was bedeutet der BREXIT für Unternehmen im Datenschutz?
Frenz: Neben den Neuerungen durch die EU-DSGVO sorgt auch der BREXIT dafür, dass sich Unternehmen vermehrt Gedanken über den Datenschutz machen müssen. Genaueres zu den Auswirkungen des BREXIT werden wir auch im kommenden Newsletter behandeln. Deswegen an dieser Stelle nur kurz der Hinweis, dass das Jahr 2018 natürlich auch in dieser Hinsicht ein spannendes Jahr zu werden scheint. Je nachdem wie sich Großbritannien orientieren wird, ist eine Zugehörigkeit zum europäischen Wirtschaftsraum oder eine Anerkennung als Land mit angemessenem Datenschutzniveau denkbar. Die UK-Aufsichtsbehörde im Datenschutz hat bereits signalisiert, dass alles dafür getan werden muss, dass auch nach einem Austritt ein angemessenes Datenschutzniveau erreicht wird und der Austausch von Daten mit Unternehmen in der EU weiterhin vereinfacht möglich ist.
CCS: Was kommt nun mit der EU-Datenschutzgrundverordnung auf die Unternehmen zu?
Frenz: Die EU-DSGVO enthält eine Reihe von bereits bekannten Pflichten, aber definiert auch viele neue Aufgaben für deutsche Unternehmen. Mit der nun unmittelbar geltenden EU-DSGVO sind Unternehmen vor allem in der Pflicht über die Verarbeitung personenbezogener Daten jederzeit Rechenschaft abzulegen. Diese sogenannte Accountability bildet neben der Pflicht zur datenschutzfreundlichen Gestaltung von Prozessen nach den Leitbildern Privacy by Design und Privacy by Default den Kern der neuen Regelungen. Daher ist es jetzt an der Zeit sich mit den relevanten Prozessen, die personenbezogene Daten beinhalten, auseinanderzusetzen. Konkret ist jetzt eine Bestandsaufnahme zu allen Prozessen mit personenbezogenen Daten das Mittel der Wahl. Dies gilt insbesondere für Unternehmen, die bislang noch kein umfassendes Datenschutz-Management-System etabliert haben. Versäumnisse in der Vergangenheit erfordern jetzt eine pragmatische Herangehensweise. Auch der Anwendungsbereich der EU-DSGVO hat sich ausgedehnt. So regelt die EU-DSGVO fortan die Verarbeitung personenbezogener Daten von betroffenen Personen in der EU. Eine Umgehung der EU-DSGVO ist durch die neuen Regelungen deutlich schwieriger geworden, da diese auch auf Fälle, in denen das Unternehmen seinen Sitz außerhalb der EU hat, aber Betroffene in der EU als Kunden anspricht, Anwendung findet.
CCS: Was ist neu? Was ändert sich gegenüber den bisherigen Regelungen?
Frenz: Aus der Vielzahl von neuen Regelungen sind einige besonders hervorzuheben. Insbesondere die möglichen Bußgelder nach EU-DGSVO sind empfindlich gestiegen. Erklärtes Ziel des Gesetzgebers war es wirksame, verhältnismäßige und abschreckende Bußgelder durch die Aufsichtsbehörden verhängen lassen zu können. Mit Bußgeldern bis zu 4 Prozent des globalen Umsatzes oder bis zu 20 Millionen Euro dürfte das Ziel einer abschreckenden Wirkung ohne weiteres erreicht werden. Bei der Berechnung des bußgeldrelevanten Umsatzes werden alle Konzern-Unternehmen mitberücksichtigt. Das lang erwartete Konzern-Privileg kommt also auch in einer etwas anderen Form, als sich so mancher das vielleicht gewünscht hat.
Bei den Dokumentationspflichten sind neben den bereits bekannten Informationspflichten gegenüber Betroffenen auch fehlende interne Verfahrensbeschreibungen nun erstmals bußgeldbewährt. Denn nur durch diese Dokumentation lässt sich der Beweis führen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Regularien der EU-DSGVO stattfindet.
Ebenfalls neu ist die Datenschutzfolgeabschätzung, die deutsche Unternehmen in Zukunft stärker beschäftigen wird, als dies bei der Vorabkontrolle nach Bundesdatenschutzgesetz der Fall war. Unternehmen müssen zukünftig bei allen Verarbeitungsformen prüfen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist. Für den Fall, dass erhebliche Risiken für die Rechte und Freiheiten der betroffenen Person entstehen, soll mithilfe der Datenschutz-Folgenabschätzung eine umfassende Risikoanalyse durchgeführt werden. Entsprechende Prozesse sind daher für die meisten Unternehmen neu und bilden einen wichtigen Punkt bei der Planung von Umsetzungsmaßnahmen zur EU-DSGVO.
CCS: Welche neuen Vorgaben sind vor allem für deutsche Unternehmen relevant?
Frenz: Trotz des bereits sehr hohen Datenschutzniveaus in Deutschland müssen sich Unternehmen zukünftig beispielsweise auf verkürzte Reaktionszeiten bei Datenpannen einstellen. Hinzu kommt, dass die umfassende Dokumentation zur Einhaltung der datenschutzrechtlichen Vorgaben genauso wie die Umsetzung eines Rechts auf Vergessenwerden zu völlig neuen Maßnahmen führen, die durch den Datenschutzbeauftragten zu überwachen sind.
Für Unternehmen bekommt der Datenschutz mit der EU-DSGVO somit einen ganz neuen, gesteigerten Stellenwert. Die dahinterstehenden Aufwände sind selbst für die Unternehmen erheblich, die dem Datenschutz schon in der Vergangenheit einen großen Platz in der Unternehmensstrategie eingeräumt haben.
CCS: Ist die Panik berechtigt?
Frenz: Grundsätzlich sollten deutschen Unternehmen die meisten Vorgaben der EU- DSGVO bereits in Grundzügen aus dem Bundesdatenschutzgesetz bekannt sein und diese umgesetzt haben. Aus der Erfahrung heraus wurde der Datenschutz in vielen Bereichen jedoch nicht „gelebt“, so dass jetzt eine Menge Aufklärungsarbeit zu leisten ist. Dabei ist die zweijährige Umsetzungsfrist eher als kurz zu bezeichnen, wenn man die üblichen Projektlaufzeiten inklusive Budgetierung und Planung zugrunde legt. Mit dem
25. Mai 2018 müssen ausnahmslos alle Prozesse mit personenbezogenen Daten die neuen Anforderungen erfüllen. Andernfalls drohen Bußgelder, die Unternehmen nicht auf die leichte Schulter nehmen sollten. Unabhängig davon wird der Datenschutz auch vermehrt von Kunden und Geschäftspartnern eingefordert, so dass mehr denn je bei Datenschutzverstößen auch Reputationsverluste drohen.
Lassen Sie mich noch auf eine zusätzliche Unternehmensgruppe eingehen: Für Unternehmen, die als Auftragsdatenverarbeiter tätig sind, steigen die Pflichten. Gerade bei dieser Unternehmensgruppe ist eine schnelle Adaption an die neuen Vorgaben empfehlenswert, denn Kunden werden in Zukunft verstärkt auf Kompetenz und Qualität im Datenschutz Wert legen. Insbesondere in diesem Umfeld wird der Datenschutz daher zum Wettbewerbsvorteil werden.
CCS: Was ist die zukünftige Rolle des Datenschutzbeauftragten?
Frenz: Unternehmen sind gut beraten weiterhin einen Ansprechpartner im Datenschutz zu etablieren. Bei größeren Unternehmen und Konzernstrukturen ist es häufig empfehlenswert auch Datenschutz-Koordinatoren einzusetzen, die in ihren Bereichen die Funktion des Ansprechpartners in Sachen Datenschutz übernehmen und bei Veränderungen den Datenschutzbeauftragten hinzuziehen. Nur so kann bei der Einführung und Veränderung von Prozessen mit personenbezogenen Daten eine Berücksichtigung der Datenschutz-Vorgaben erreicht werden.
Ob die jetzige Datenschutzorganisation den neuen rechtlichen Anforderungen genügt, sollte durch jedes Unternehmen kritisch geprüft werden. Hieran haben auch die jetzigen Datenschutzbeauftragten ein nicht unerhebliches Interesse, denn diese sind zukünftig nicht nur im Rahmen eines „Hinwirkens“ verpflichtet, sondern sollen mit umfassenden Überwachungspflichten sicherstellen, dass die neuen Vorgaben der EU-DSGVO im Unternehmen eingehalten werden. Datenschutzbeauftragte in den Unternehmen sollten daher sehr genau prüfen, wo das eigene Unternehmen in Sachen Datenschutz steht und welche Maßnahmen mit Blick auf die Zukunft erforderlich werden. Auch hier ist ein Austausch mit Experten in diesem Bereich sicherlich notwendig, um unnötige Aufwände zu vermeiden.
CCS: Wie geht es weiter?
Frenz: Mit dem Inkrafttreten der EU-DSGVO gilt diese auch ohne weitere Rechtsetzungsakte unmittelbar in Deutschland. Fortan haben alle neuen Gesetze im Einklang zu stehen mit den Regelungen der EU-DSGVO. Aufgrund des bevorstehenden Endes der Legislaturperiode mit der Bundestagswahl in 2017 ist eine schnelle Beschlussfassung über ein neues BDSG noch vor der Sommerpause des Bundestags erforderlich. Es ist jedoch nicht davon auszugehen, dass die Bundesregierung in Ihrem Vorschlag auch darüberhinausgehende Reformen im Datenschutz, wie bspw. die Reform des Arbeitnehmerdatenschutzgesetzes, einbringt. Vielmehr ist es einhellige Meinung, dass nur unmittelbar erforderliche Änderungen und Anpassungen vorgenommen werden sollen. Es ist mithin zu erwarten, dass der Gesetzgeber das neue BDSG zunächst in Form eines Bereinigungsgesetzes ausgestaltet. Öffnungsklauseln, von denen es eine Reihe in der DSGVO gibt, sollen nur in geringem Umfang genutzt werden. Ein erster Entwurf soll im August vorgelegt werden. Fest steht, dass dem Gesetzgeber hier noch eine Mammut-Aufgabe bevorsteht, denn Schätzungen zufolge sind bis zu 700 Gesetze und Normen anzupassen, um Kollisionen mit der nun gelten EU-DSGVO zu vermeiden.
CCS: Was ist dabei die Rolle der Aufsichtsbehörden?
Frenz: Den Aufsichtsbehörden stehen ebenso große Aufgaben bevor. Zum einen sorgt ein neuer Datenschutzausschuss auf EU-Ebene für eine einheitliche Auslegung der EU- DSGVO in allen EU-Staaten, zum anderen haben Aufsichtsbehörden auch weiterhin einen Beratungsauftrag für Unternehmen, so dass sich diese in allen Fragen des Datenschutzes auch an die Aufsichtsbehörden wenden können. Diese sind bei Konsultation verpflichtet, innerhalb einer Regelfrist von acht Wochen Auskunft zu erteilen. Bei gleichzeitiger Beibehaltung der Personalmittel wird dies allerdings stark in das Alltagsgeschäft eingreifen und die Behörde weit über die Grenze des Möglichen belasten. Dennoch haben Aufsichtsbehörden bereits begonnen die Auswirkungen der EU-DSGVO in Merkblättern zu berücksichtigen und erste Hilfestellungen zu geben. Doch noch sind viele Fragen offen. Beispielweise wer Deutschland in diesem Datenschutz- Ausschuss vertreten soll oder wann neue Muster für ADV-Verträge, Verfahrensverzeichnisse oder etwaige Piktogramme, die zur Kommunikation mit dem Betroffenen genutzt werden sollen, vorliegen. Unternehmen sind daher gut beraten, diese Anmerkungen sehr genau zu verfolgen und entsprechende Konsequenzen in Bezug auf eigene Vorgehensweisen zu ziehen.
CCS: Bis Mai 2018 ist es ja noch etwas hin… Was sollten Unternehmen jetzt tun und was später?
Frenz: In der Tat erscheint die Zeit bis zum Ende der Übergangsfrist im Mai 2018 noch sehr lang, doch wenn man bedenkt, wie stark und umfangreich die Verarbeitung personenbezogener Daten in Unternehmensprozessen verankert ist, sollte umgehend mit einer Bestandsaufnahme begonnen werden. Nach meiner Erfahrung verfügen Unternehmen zwar über eine grundlegende Dokumentation ihrer Prozesse, eine aktuelle und umfassende Dokumentation der Verfahren zählt jedoch oft nicht dazu. Somit steht an erster Stelle, sich einen Überblick zu verschaffen und zu prüfen oder prüfen zu lassen, ob die Datenschutzorganisation und die jeweiligen Rechtsgrundlagen der Verarbeitung personenbezogener Daten auch nach der EU-DSGVO noch hinreichend ausgestaltet sind.
Gerade im Hinblick auf die Vielzahl von Abwägungsentscheidungen und die gestiegenen Dokumentationspflichten, besteht die Gefahr von Reibungsverlusten, so dass Unternehmen zur Vermeidung von Bußgeldrisiken und Reputationsverlusten umgehend eine Risikoanalyse durchführen und entsprechende Maßnahmen ableiten sollten. Hierbei ist natürlich eine pragmatische Herangehensweise angezeigt, die dazu führt, dass Unternehmen den Datenschutz künftig als Wettbewerbsvorteil nutzen können.
(Philipp Frenz, Creditreform Compliance Services GmbH)