Image
Foto: ©bluedesign – stock.adobe.com

Hysterie oder Supergau?

Am 25.5.2018 tritt die neue Datenschutz-Grundverordnung in Kraft. Doch der Mittelstand wartet lieber ab. Zu unrealistisch erscheint die Regulierungswut der EU.



„Kurz vor knapp“, „Die Zeit drängt“ oder „Es wird eng“ – Schlagzeilen wie diese deuten an, dass dem deutschen Mittelstand in Kürze ein entscheidender Umbruch bevorsteht. Die Rede ist dabei von der umfassendsten Datenschutzreform, die Europa bislang gesehen hat und die recht bald in Ihrem Unternehmen umgesetzt sein sollte. „Die Zeit drängt, um die Vorgaben der Datenschutzgrundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, sagt Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Branchenverband Bitkom. „Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens.“ Denn wenn am 25. Mai 2018 die neue europäische Datenschutz-Grundverordnung (DS-GVO) zusammen mit der Neufassung des Bundesdatenschutzgesetzes (BDSG) in Kraft tritt, dann drohen für Verstöße Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent Ihres Umsatzes.

Mittelstand tut sich schwer

Um hier etwas Licht ins Dunkel zu bringen, werden wir uns in den kommenden Ausgaben im Rahmen unserer dreiteiligen Serie „Datenschutz-Grundverordnung“ mit dem Thema beschäftigen, denn auch wenige Monate vor der Deadline scheint es so, als ob viele Unternehmen sich nicht auf die Änderungen in Bezug auf den Schutz persönlicher Daten eingestellt haben. Aktuell haben erst 13 Prozent der Unternehmen erste Maßnahmen zur Umsetzung der DS-GVO begonnen oder abgeschlossen. „Vor einem Jahr lag der Anteil bei acht Prozent, viel passiert ist seitdem offenkundig nicht“, so Dehmel. Gerade einmal 49 Prozent aller Unternehmen haben das Thema aktuell auf dem Schirm. Jedes dritte Unternehmen gibt an, sich bislang noch überhaupt nicht mit den Vorgaben der Verordnung beschäftigt zu haben. Und selbst von jenen Unternehmen, die sich aktuell mit der DS-GVO beschäftigen, gehen nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zum Stichtag vollständig umsetzen können. Weitere 20 Prozent erwarten, dass sie die Anforderungen zumindest zum größten Teil erfüllen werden. Das sind die Ergebnisse einer repräsentativen Befragung unter mehr als 500 Unternehmen, die Bitkom im September 2017 im Rahmen seiner Privacy Conference in Berlin vorgestellt hat. Dabei ist auffallend und besonders erschreckend, dass sich gut 13 Prozent der Unterhemen bewusst nicht mit dem Thema DS-GVO beschäftigen. Ob die begründete Angst vor unberechenbaren Veränderungen wie möglicher Rechtsunsicherheit, komplizierteren Geschäftsprozessen, Wettbewerbsnachteilen oder Innovationsbremsen hier eine Rolle spielt oder ob dabei bloße Ignoranz von Persönlichkeitsrechten zum Tragen kommt, ist nicht ersichtlich. Klar ist jedoch, dass die neuen Regelungen und Gesetze für jedes Unternehmen, jeden Freiberufler und sogar Vereine gelten.

Dynamische IP-Adressen sind personenbezogene Daten

Und so sollten wir an dieser Stelle zunächst einmal beleuchten, was DS-GVO und BDSG ins Visier nehmen: die personenbezogenen Daten von Kunden, Mitarbeitern und Dritten. Laut DS-GVO Art. 4 sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kenn-Nummer, Standortdaten, einer Online-Kennung oder anhand anderer besonderer Merkmale identifiziert werden kann. Zudem nennt die Verordnung explizit Kennungen wie jedwede physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Merkmale. Persönliche Daten sind dabei auch, und dies hat der Bundesgerichtshof im Mai 2017 klargestellt, dynamische IP-Adressen, die z. B. via Google Analytics erhoben wurden. Der Umgang mit Google Analytics ist dabei ein schönes Beispiel, wie Unternehmen mit aktuell bereits bestehenden Regelungen in Bezug auf Datenschutz umgehen. Oder haben Sie etwa einen 18-seitigen rechtskonformen Vertrag mit Google abgeschlossen? Oder bieten Sie Smartphone-Usern Ihrer Dienste einen so genannten Opt-out-Button an, damit diese sich von der Datensammlung via Cookies befreien können? Auf diese rechtskonforme Nutzung hatte sich der Suchmaschinenkonzern nach jahrelangen Streitigkeiten mit europäischen Datenschützern geeinigt; und diese Merkmale ebenso wie die Anonymisierung von IP-Daten gehören zu den rechtlichen Rahmenbedingungen, wenn ein Unternehmen Google Analytics nutzen möchte.

Verarbeitungsverzeichnis als Grundlage

DS-GVO und BDSG dagegen verlangen weit mehr als nur einen Vertrag. Insbesondere die in Art. 30 beschriebene Dokumentationspflicht wird den Aufbau und die Ausgestaltung eines Verarbeitungsverzeichnisses bedingen. In diesem sollten Unternehmen die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentieren. Aktuell geben 42 Prozent der Unternehmen an, dass sie ein solches Verzeichnis nicht haben. Vor einem Jahr lag der Anteil mit 46 Prozent ähnlich hoch. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DS-GVO im besten Fall schwierig. „Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich. Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen eine wichtige Rolle spielen“, erklärt Dehmel. Der Bitkom empfiehlt in einem Leitfaden, das Verarbeitungsverzeichnis in mehreren Phasen auszugestalten. In den ersten Phasen der Sensibilisierung und Information sollten dabei die Fachbereiche über die gesetzlichen Vorgaben zur Erstellung des Verzeichnisses und die damit verbundene Zielsetzung in Kenntnis gesetzt und zuständige Mitarbeiter benannt werden. Die Einbeziehung aller Fachbereiche des Unternehmens ist von entscheidender Bedeutung, wenn es anschließend um die Frage der Nutzung und Verarbeitung von personenbezogenen Daten im Unternehmen und die Beratung zum Umgang mit diesen geht. Es ist dabei völlig unerheblich, ob es sich bei den Daten um Zielgruppenanalysen im Controlling, Lohnabrechnungen der Personalabteilung oder Logistikdaten von Zulieferern handelt. Sind alle Daten, Verarbeitungsvorgänge und relevanten Systeme erst einmal identifiziert, so muss nun in einer Konsolidierungsphase ein Gesamtwerk erstellt und in der Umsetzungsphase vollständig und korrekt, aber auch verständlich dargestellt werden. Eine Zuverlässigkeitsprüfung und die ständige Pflege bzw. Aktualisierung des Verarbeitungsverzeichnisses bilden den Abschluss dieses Prozesses. Den kompletten Bitkom-Leitfaden zum Thema mit vielen weiteren nützlichen Informationen und Tipps finden Sie hier:

Daten als Grundlage des Geschäftsmodells

Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes dritte setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 42 Prozent der Unternehmen geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. „Angesichts der Bedeutung von personenbezogenen Daten für die Geschäftstätigkeit der Unternehmen ist es schwer nachzuvollziehen, warum so viele die Übergangsfrist bei der Datenschutzgrundverordnung bislang untätig verstreichen ließen“, resümiert Dehmel. Welche rechtlichen Aspekte wie Haftungen, das Recht auf Löschung oder Benachrichtigungspflichten in der DS-GVO stecken und wann Sie einen Datenschützer brauchen, das schauen wir uns im zweiten Teil unserer Serie an.

André Sarin | redaktion@regio-manager.de

Ausgabe 02/2018