Image
Foto: © astefanei – stock.adobe.com

Serie – Datenschutz-Grundverordnung, Teil 2/3

Risiko oder Datenschutz?

Die neue europäische Datenschutz-Grundverordnung verstehen und umsetzen



Im zweiten Teil unserer Serie zum Thema Datenschutzverordnung möchten wir uns etwas tiefgehender mit den rechtlichen Besonderheiten und Fallstricken in der neuen europäischen Datenschutz-Grundverordnung (DS-GVO) beschäftigen. Auch wollen wir einen Blick auf die Notwendigkeit eines internen bzw. externen Datenschutzbeauftragten werfen.

Natürlich steht es Ihnen als Unternehmer frei, die Umsetzung der DS-GVO nach dem Prinzip einer Risikostrategie anzugehen. Wo kein Kläger, da kein Richter; aber das kann teuer werden. Denn im Unterschied zum derzeit noch gültigen Bundesdatenschutzgesetz (BDSG), das bei Verstößen lediglich Geldbußen bis zu 5.000 Euro, in schweren Fällen 300.000 Euro, vorsah, können Unternehmen gemäß Artikel 83 der neuen DSGVO zu Strafzahlungen in Höhe von bis zu 20 Millionen Euro belangt werden. Bei gravierenden Verstößen verlangt der Gesetzgeber bis zu vier Prozent Ihres weltweiten Jahresumsatzes als Strafzahlung. Und wem als Unternehmer dieser Schuss vor den Bug Ihrer Risikostrategie nicht reicht, der sollte mal einen Blick auf Paragraf 42 des neuen BDSG werfen. Für Verstöße können neben Geldstrafen auch Freiheitsstrafen bis zu drei Jahren verhängt werden.

Zweckbindung, Datenminimierung und Speicherbegrenzung

Im ersten Teil unserer Serie haben wir uns bereits hinreichend mit dem Begriff der personenbezogenen Daten beschäftigt. Auch haben wir deren Bedeutung für Unternehmen ausführlich dargestellt. Fakt ist, qualifizierte Daten sind das Öl unserer auf Informationstechnologie basierten Wirtschaft. Mit ihrer Hilfe lassen sich Zulieferer und Abnehmer organisieren und verwalten oder digitale Marketingmaßnahmen zu gezielter Ansprache von Kunden generieren. Höchst intime persönliche Daten wie zum Beispiel Allergien oder Vorerkrankungen können in der Medizin den Unterschied zwischen Leben und Tod ausmachen. Aber, und hier sind BDSG und DSGVO sehr eindeutig, wer jetzt der Versuchung erliegt, Daten verschiedenster Art in Hülle und Fülle zu sammeln und zu horten, der befindet sich auf dem Holzweg. Artikel 5 der DSGVO legt fest, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Zudem muss unter dem Stichwort Datenminimierung sichergestellt werden, dass die Datensammelei auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist. Auch müssen Sie als Unternehmen Maßnahmen dafür treffen, dass unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden. Der Vorratsdatenspeicherung schiebt die DSGVO den Riegel der Speicherbegrenzung vor. Sie dürfen personenbezogene Daten nur so lange speichern, wie sie diese auch wirklich benötigen. So können Sie zum Beispiel die bei einem Gewinnspiel gewonnen Daten nicht ohne ausdrückliches Einverständnis der Teilnehmer für den Aufbau eines Newsletters nutzen. Die erhobenen Daten sind nach der Beendigung des Gewinnspiels unverzüglich zu löschen.

Die neuen Fallstricke der DSGVO

Die DSGVO kennt einige Fallstricke. Zwar sind nicht alle Aussagen und Passagen eindeutig, doch exemplarisch wollen wir hier Ihnen zwei Besonderheiten vorstellen. Das wäre zum einen das Recht auf Löschung und zum anderen das Recht auf Datenübertragbarkeit. Bei der Datenübertragbarkeit haben Personen das Recht, alle sie betreffenden Daten in einem strukturierten und maschinenlesbaren Format zu erhalten, um diese an Dritte weitergeben zu dürfen. Artikel 20 der DSGVO verpflichtet Unternehmen dazu, dass sie technisch in der Lage sind, personenbezogene Daten von einem Verantwortlichen zu einem anderen zu transferieren; natürlich nur nach Aufforderung durch den Betroffenen. Leider nennt die DSGVO hier kein konkretes Datenformat. Dies gilt es nachzubessern, damit die Übertragbarkeit von personenbezogenen Daten im Rahmen der gängigen IT-Prozesse eines Unternehmens einfach abgewickelt werden kann.

Eine solch einfache Lösung sollten Sie auch in Bezug auf das Recht auf Löschung implementieren. Denn mit Artikel 17 des DSGVO stärkt die EU-Kommission die Rechte des Bürgers und erleichtert Betroffenen eine Löschung ihrer Daten. Widerruft also künftig eine Person ihrer Einwilligung oder legt Widerspruch gegen die Verarbeitung von Daten ein, so sind Sie als Verantwortlicher verpflichtet, diese unverzüglich zu löschen. Das bedeutet auch, dass Sie Sorge tragen müssen, dass diese Daten, sofern Sie sie an externe Partner wie zum Beispiel IT-Dienstleister weitergegeben haben, auch bei diesen unverzüglich gelöscht werden.

Bei der Datenverarbeitung sitzen Sie alle im gleichen Boot

In der alltäglichen Verarbeitung von Daten ist es heutzutage, bedingt durch die zunehmende Digitalisierung und Spezialisierung und das verstärkte Outsourcing von IT-Prozessen, üblich, personenbezogene Daten im Rahmen der Auftragsdatenverarbeitung weiterzugeben. So kann ein Versicherungsmakler mit einem Cloud-Service-Anbieter zusammenarbeiten, ein Fertigungsunternehmen seine Lohnbuchhaltung in externe Hände geben oder ein Versicherungsbüro seine Kundendaten mit Partneragenturen teilen. In all diesen Fällen geht die DSGVO davon aus, dass sich die verschiedenen Partner und Gewerke die Verantwortlichkeit für Daten teilen. Kommt es also zu einem Datenmissbrauch oder einer Datenschutzverletzung, muss gegebenenfalls vor Gericht geklärt werden, wer für das Datenleck verantwortlich war und die Haftung dafür trägt. Und mit dem Stichwort der Haftung möchten wir zum Abschluss auf die Bedeutung und Notwendigkeit des Datenschutzbeauftragten zu sprechen kommen.

Wann Sie einen Datenschutzbeauftragten brauchen

Der Datenschutzbeauftragte sollte Sie vor Haftung und Schaden bewahren und Sie als zentrale Figur im Unternehmen bei der Umsetzung der DSGVO und des BDSG unterstützen. Der Datenschutzbeauftragte muss dabei über eine Qualifizierung verfügen, die jedoch nicht durch eines der beiden Regelwerke kodifiziert ist. Als Unternehmen haben Sie generell zwei Möglichkeiten bei der Bestellung eines Datenschutzbeauftragten. Sie können einen internen Mitarbeiter einsetzen oder aber eine externe Expertise einkaufen. Letztere sollte wohl überlegt eingekauft und durch knallharte Verträge im Falle einer Datenschutzverletzung haftbar gemacht werden.

Bei all dem bleibt noch die Gretchenfrage: Braucht Ihr Unternehmen überhaupt einen Datenschutzbeauftragten? Unternehmer denken bei dieser Frage oft an den Mythos der neun Mitarbeiter. Das ist soweit richtig, als dass Sie einen Datenschutzbeauftragten brauchen, sofern sich mehr als neun Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung beschäftigen. Ebenso besteht eine Verpflichtung, wenn mindestens zwanzig Personen regelmäßig auf Daten zurückgreifen. Doch es gibt noch zwei weitere Faktoren, die unabhängig von der Mitarbeiterzahl die Notwendigkeit des Datenschutzbeauftragten im Unternehmen bedingen. Das ist zum einen der Detailgrad der personenbezogenen Daten, also wenn zum Beispiel Daten über ethnische Herkunft, politische Meinung oder Gesundheitsstatus einer Person informieren. Sollte zum anderen die Ermittlung, Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zum Kerngeschäft Ihres Unternehmens gehören, dann brauchen Sie ebenfalls unabhängig von der Mitarbeiterzahl einen Datenschutzbeauftragten. In jedem Fall gilt, egal ob externer oder interner Datenschutzbeauftragter, am besten beraten sind Sie als Unternehmer, wenn Sie eine Expertise an Ihrer Seite haben, die Sie von der Risikostrategie in sicheres Fahrwasser führt. André Sarin | redaktion@regio-manager.de

Ausgabe 03/2018