Nach vier Jahren zähen Verhandlungen verkündete die EU Mitte Dezember die EU-Datenschutz-Grundverordnung (GVO). Sie tritt 2018 in Kraft. Der Aufwand für Datenschutz-Compliance in deutschen Unternehmen wird sich dadurch deutlich erhöhen, erklärt IT-Rechtler Dr. Jan Meents. In Panik müssen Unternehmen angesichts der Vorgaben aus Brüssel dennoch nicht geraten, so der DLA Piper-Partner, auch wenn bei Verstößen künftig enorme Bußgelder drohen.
JUVE: Die neue Datenschutz-Grundverordnung (DS-GVO) umfasst 91 Artikel. Allerdings gilt Deutschland im EU-Vergleich in Sachen Datenschutz als Musterknabe. Müssen deutsche Unternehmen trotzdem nervös werden angesichts der neuen Regelungen?
Jan Meents: Dafür besteht kein Grund. Allerdings ist davon auszugehen, dass sich der Aufwand für Datenschutz-Compliance weiter erhöhen wird. Mit der EU-Datenschutzverordung kommen einige neue Verpflichtungen auf die Unternehmen zu, die es auch in Deutschland so noch nicht gab. Zu nennen sind etwa zahlreiche neue Informations- und Auskunfts- sowie Dokumentationspflichten. Hierzu zählt auch die Durchführung einer detaillierten „Datenschutz-Folgenabschätzung“ vor der Einführung vermeintlich riskanter neuer Technologien und die hieraus resultierende Pflicht, die Behörden davon in Kenntnis zu setzen.
Was sind die wesentlichen Änderungen zum bisherigen Datenschutz?
Neu ist beispielsweise das „Recht auf Vergessenwerden“. Danach können Betroffene unter bestimmten Voraussetzungen die Löschung der eigenen Daten verlangen. Unternehmen, die diese Daten öffentlich gemacht haben, sind verpflichtet, auch andere Verarbeiter der Daten entsprechend zu informieren. Außerdem erhalten Betroffene erstmals ein „Recht auf Datenübertragbarkeit“. Sie dürfen von Anbietern die Herausgabe von Daten in einem elektronischem Standardformat verlangen. Hierbei handelt es sich aber weniger um eine datenschutzrechtliche als vielmehr um eine wettbewerbsrechtliche Regelung. Noch stärker als bisher gilt der Grundsatz des „Privacy by Design“: Prozesse sollen von vornherein so gestaltet werden, dass die Verarbeitung unverschlüsselter personenbezogener Daten minimiert ist. Für Unternehmen tritt gleichzeitig eine Erleichterung im Umgang mit den für sie zuständigen Aufsichtsbehörden ein. So haben sie zukünftig im Grundsatz nur noch mit einer einzigen für sie zuständigen Aufsichtsbehörde zu tun („One-Stop-Shop“).
Wo liegen die größten Schwierigkeiten bei der Umstellung?
Zumindest für die ersten Jahre nach Einführung der Verordnung müssen Unternehmen mit einer erheblichen Rechtsunsicherheit rechnen. Das gilt umso mehr, als die neuen Regelungen zahlreiche unbestimmte Rechtsbegriffe enthalten, für deren Auslegung man nur bedingt auf bisherige Grundsätze wird zurückgreifen können. Noch wichtiger als bisher dürfte daher eine gute Verständigung mit der zuständigen Datenschutzbehörde werden. Auch diese schützt allerdings nicht vor Klagen von Verbraucherverbänden gegen Datenverarbeitungsprozesse, die der deutsche Gesetzgeber aktuell mit der Änderung des Gesetzes für Unterlassungsklagen ermöglicht.
Welche Datenverarbeitungsprozesse müssen Unternehmen ausrollen?
Grundsätzlich müssen jetzt alle Prozesse im Unternehmen untersucht werden. Für Unternehmen mit vollständigen Verfahrensverzeichnissen dürfte das allerdings keine unmögliche Aufgabe sein. Mitarbeiterschulungen sind vor allem für Bereiche wie Direktmarketing und alle Abteilungen, die sensible Daten verarbeiten, zu empfehlen. Hier sind noch neue Kategorien hinzugekommen, nämlich Gen- und biometrische Daten.
Gibt es Ausnahmeregelungen?
Die gibt es, aber nur eingeschränkt. Beispiele sind etwa die Verarbeitung von Daten zu wissenschaftlichen oder statistischen Zwecken. Darüber hinaus sind nationale Sonderregelungen erlaubt, unter anderem für die Bereiche Gesundheit, Arbeitnehmerdatenschutz und Presse.
Mit welchen Strafen müssen Unternehmen rechnen, die sich an die neuen Regelungen nicht halten?
Die Strafen sind im Vergleich zu früher erheblich. Für Unternehmen können Strafen nun bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes betragen. Selbst wenn Bußgeldrahmen in der Regel nicht voll ausgeschöpft werden, ist aufgrund der deutlich erhöhten Obergrenzen zu erwarten, dass auch die verhängten Bußgelder signifikant steigen.
Das Gespräch führte Eva Flick.
