165 Tage Datenschutzgrundverordnung

EU-DSGVO - Datenschutzgrundverordnung

Ein "Update mit Folgen"

Die Datenschutzgrundverordnung ist nun seit 165 Tagen in Kraft. Einer Umfrage des Digitalverbandes Bitkom zufolge, hatten drei von vier Unternehmen den Stichtag zur Umsetzung verfehlt. Im folgenden Artikel wollen wir einmal eine kurze Bilanz ziehen.

DSGVO gleich DSGVO?

Ein erklärtes Ziel mit der Einführung der DSGVO war, eine einheitliche Regelung und somit eine Harmonisierung des Datenschutzrechts in Europa zu schaffen. Dies entspricht der Grundidee des (digitalen) europäischen Binnenmarktes. Dementsprechend sollen, auf europäischer, als auch auf nationaler Ebene, in den einzelnen Mitgliedsstaaten die gleichen Regeln gelten.

Leider muss hier bereits konstatiert werden, dass dies nicht gelungen ist.

Mit der Übergangsfrist hatten nur sieben Länder die nationalen Voraussetzungen vollständig umgesetzt. Hierzu zählen Deutschland und Österreich. Länder wie Spanien, Italien, Portugal, Rumänien und Lettland sind inzwischen gefolgt oder stehen kurz davor die DSGVO Voraussetzungen komplett umzusetzen. Anders sieht es allerdings aus in Ländern wie Frankreich, Belgien, Bulgarien, Griechenland, Litauen, Slowenien, Tschechien, Ungarn und Zypern. Diese hatten bis zum 25. Mai 2018 das nationale Gesetzgebungsverfahren noch nicht beendet. Gleichwohl findet die DSGVO aufgrund ihrer Rechtsnatur unmittelbar in sämtlichen Ländern der europäischen Union Anwendung. 

Zudem ist die inhaltliche Umsetzung für grenzübergreifend agierende Unternehmen besonders ärgerlich. 

Hier gibt es zwischen einzelnen EU Mitgliedsstaaten einige Unterschiede. Viele Länder haben von den Öffnungsklauseln Gebrauch gemacht. So sind z.B. in Deutschland Unternehmen ab einer Mitarbeiterzahl von mehr als 9 Personen, welche mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, dazu verpflichtet einen Datenschutzbeauftragten zu benennen. Die EU-DSGVO schreibt dies jedoch erst ab 250 Personen vor. In Polen wurde innerhalb des Gesetzentwurfes eine Neuerung hinsichtlich der Kontrollen eingeführt. So darf hier die Datenschutzbehörde Unternehmen ohne vorherige Ankündigung in den Geschäftsräumen kontrollieren. Ebenfalls wurde die eingeführte Altersgrenze von 16 Jahren, gemäß Art. 8 Abs. 1 DSGVO für die Wirksamkeit einer Einwilligung von Kindern und Jugendlichen, in diversen Ländern dank der kodifizierten Öffnungsklausel angepasst. So gilt z.B. in Tschechien und Lettland ein Mindestalter von 13 Jahren, in den Niederlanden von 14 Jahren und in Deutschland gelten weiterhin die 16 Jahre aus der EU-DSGVO. Die Vielzähligen nationalen Regelungen und Unterschiede tragen dazu bei, dass sich die Umsetzung der DSGVO als eine erhebliche Herausforderung für Unternehmen darstellt. 

Positiv hervorzuheben ist dagegen das Marktortprinzip. Dieses sieht vor, dass sobald ein Unternehmen eine Geschäftsbeziehung mit einem EU-Bürger eingeht, dieser den Datenschutz nach EU-DSGVO umzusetzen hat. Das heißt im Umkehrschluss jedoch nicht, dass Unternehmen keine Daten sammeln dürfen. Zu nennen sind hier vor allem die GAFA-Unternehmen (Google, Apple, Facebook und Amazon). Diese müssen sich dafür das Einverständnis eines jeden Nutzers geben lassen und dieses dokumentieren. Negativ anzumerken ist, dass Unternehmen zum einen durch die Voreinstellungen weit in die Privatsphäre der Nutzer eingreifen und zum anderen die Einstellung zum Einschränken der Nutzung relativ „versteckt“ halten. Nutzer, die ihre Privatsphäre schützen wollen, müssen einen längeren Prozess durchlaufen.

Zusätzlich ist festzuhalten, dass aufgrund des Marktortprinzips die EU-DSGVO weltweite Auswirkungen auf Unternehmen und die Politik hat. Die DSGVO hat dadurch einen gewissen Vorbildcharakter eingenommen. Es werden bereits erste Rufe in anderen Ländern, wie z.B. Australien, den USA oder Teilen Südamerikas, vernommen, um ähnlich „strenge“ Regeln einzuführen. Gerade diese Entwicklung ist für international agierende Unternehmen oder solche, die eine Expansion anstreben sehr zu begrüßen. 

Was wurde aus der Abmahnwelle und den Bußgeldern?

Vor in Kraft treten der EU-DSGVO wurde in zahlreichen Medien und Publikationen von einer drohenden Abmahnwelle und Bußgeldern berichtet. Es ist unstreitig, dass mit der Einführung der EU-DSGVO die Möglichkeiten und die Höhe der Bußgelder deutlich gestiegen sind. Diese Veröffentlichungen haben der allgemeinen Debatte um die DSGVO im Vorfeld allerdings nicht  zwangsläufig gut getan. Die große Abmahnwelle ist (glücklicherweise) bisher ausgeblieben. Die Politik hat hier dennoch einen akuten Handlungsbedarf erkannt und will teure Abmahngebühren schnellstmöglich aussetzen. Zusätzlich haben einige Datenschutzbehörden der DSGVO kurzfristig den Biss genommen. Zu erwähnen ist insbesondere  Österreich, welches die meisten Verstöße straffrei stellt und von einer aktiven Verfolgung absieht. Hinzu kommt zusätzlich, dass die Aufsichtsbehörden und Gerichte gewisse offene Fragestellungen in der Auslegung der DSGVO noch nicht endgültig beantwortet haben. Eine einheitliche Umsetzung auf nationaler und europäischer Ebene wäre hier erstrebenswert.

Trotz oder gerade aufgrund der bestehenden Unklarheiten, sollten Unternehmen das Thema nicht vernachlässigen und unbedingt angehen, sofern sie dies nicht bereits getan haben. Den Landesdatenschutzbehörden stehen eine Vielzahl von Werkzeugen zur Verfügung, um auf Missstände angemessen zu reagieren. So werden bei der Bestimmung der Höhe eines Bußgeldes verschiedene Aspekte herangezogen: etwa die Art, die Schwere und die Dauer des Verstoßes, aber auch ob und wie mit den Aufsichtsbehörden zusammengearbeitet wurde und ob der Verstoß eigenständig mitgeteilt wurde. D.h., als Unternehmen, sollten sie ihre Hausaufgaben gemacht haben und auf eine mögliche Prüfung vorbereitet sein.

Die Dokumentationen müssen dazu z.B. folgendes beinhalten: Zulässigkeit der Verarbeitung, Betroffenenrechte, Auftragsverarbeitungsverträge, wie  der technische Datenschutz gestellt ist , verantwortlicher Datenschutzbeauftragter und so weiter. Haben sie ihre Hausaufgaben gemacht und sich kooperativ verhalten, werden ihnen auch bei Fehlern vermutlich zunächst keine Bußgelder drohen. Vorausgesetzt sie stellen das Fehlverhalten ab. (www.intalogy.de)

DSGVO als Wettbewerbsvorteil und Chance für den digitalen Markt?

Nicht wenige Unternehmen haben ihre digitalen Aktivitäten aufgrund der neuen Regeln eingeschränkt. Unternehmen, die den „erzwungenen Frühjahrsputz“ bereits erledigt haben, stehen gegenüber dem Wettbewerber besser da. Feststellen lässt sich zudem, dass die Umsetzung der Regeln für einige Unternehmen eine reelle Chance bedeuten. Interne Prozesse werden auf den Prüfstand gestellt und den neuen Anforderungen angepasst. Daten werden immer mehr, auch in kleinen Unternehmen, als wertvolle Ressource entdeckt, welche  sinnvoll zu nutzen gilt. Gleichzeitig sind sie gegenüber Cyberangriffen nun besser aufgestellt, die in den letzten Jahren stetig gestiegen sind. Die neuen Regeln tragen folglich zum Schutz der Daten bei.

Mit der Umsetzung der DSGVO stellen Unternehmen sich für die zukünftigen Anforderungen der digitalen Welt besser auf. Das Einbeziehen von personenbezogen Daten wird in kommenden Geschäftsmodellen häufiger stattfinden. Diese Modelle kommen nicht ohne die Verarbeitung von Daten aus. Wer das Thema Datenschutz bei der Entwicklung neuer Technologien, Produkte und Service früh berücksichtigt, ist für die kommenden Herausforderungen gewappnet und erhält durch ein gesteigertes Vertrauen der Kunden zusätzliche Wettbewerbsvorteile.

Intern oder Extern?

Für viele Verantwortliche stellt sich die Frage, wie die gesetzlichen Anforderungen erfüllt werden sollen?

Grundsätzlich besteht ab einer bestimmten Unternehmensgröße bzw. je nach Art der zu verarbeitenden Daten, die Pflicht zur Benennung eines Datenschutzbeauftragten. Dabei kann es sich um einen sogenannten internen oder externen handeln. Folgende Grafik gibt eine kurze Übersicht der Vor- und Nachteile der beiden Möglichkeiten. 

Interner Datenschutzbeauftragter

Nachteile: 

Kosten: Zusätzlich zum Gehalt hohe Aus- und Fortbildungskosten für interne Mitarbeiter, sowie Erwerb von Fach-Literatur 

Kompetenz: Zeitintensive und aufwändige Weiterbildungsmaßnahmen

Haftung: Haftung im Rahmen der beschränkten Arbeitnehmerhaftung.

Stellung im Unternehmen: Akzeptanz im Unternehmen geringer, da Mitarbeiter auf Anfragen oft nur langsam oder gar nicht reagieren

Kündigungsschutz: interner DSB genießt einen besonderen Kündigungsschutz

Vorteile:

Einarbeitung: Betriebsabläufe sind im Großen und Ganzen bereits bekannt

Externer Datenschutzbeauftragter:

Vorteile:

Kosten: Vertraglich festgelegte Preisstruktur schafft Transparenz

Kompetenz: Juristischer Hintergrund sowie zusätzlich zertifizierte Fachkunde, zusätzliche Expertise und Erfahrung durch Betreuung weiter Kunden

Haftung: Die Beauftragung eines externen DSB bedeutet eine Risikominimierung für das Unternehmen

Stellung im Unternehmen: Neutrale Position im Unternehmen

Kündigungsschutz: Die Beauftragung des externen Datenschutzbeauftragten kann fristgerecht beendigt werden

Nachteile:

Einarbeitung: Muss sich in den betrieblichen Prozessen und Abläufe erst einarbeiten