Neuer revolutionärer Datenschutz aus Brüssel

Über vier Jahre hat es gedauert, aber kürzlich haben die europäischen Institutionen die neue Datenschutz-Grundverordnung („DS-GVO“) beschlossen, die in ca. zwei Jahren Geltung beanspruchen wird. Die DS-GVO regelt die Sammlung, Nutzung, Speicherung und Übertragung personenbezogener Daten, also in aller Regel Daten über Kunden und Arbeitnehmer der Unternehmen.

Es handelt sich dabei nicht um ein übliches Update eines Rechtsgebiets, sondern um eine wirkliche Revolution. Die Behörden können pro Verstoß gegen die neue DS-GVO ein Bußgeld i.H.v. 20 Mio. € oder 4% des Jahresgesamtumsatzes verhängen. Außerdem gibt die DS-GVO den Unternehmen moderne Compliance-Instrumentarien an die Hand: Datenschutzfolgeabschätzungen, auch Privacy Impact Assessment (PIA) genannt, Privacy by Design und Privacy by Default. Durch diese Instrumente soll der Datenschutz seine „Verhinderer-Position“ hinter sich lassen und den Herausforderungen der modernen Zeit angepasst werden. Unternehmen können zukünftig bei der Schaffung bzw. Implementierung neuer Dienstleistungen und Produkte den Datenschutz in diese einbauen. Sie können damit einen Mehrwert für ihre Kunden schaffen und das Vertrauen ihrer Kunden stärken. Mit den wachsenden Bedrohungen der Daten im Internet ist dieses Mehr an Vertrauen auch unbedingt erforderlich, um der Digitalisierung der Geschäftsmodelle zum Erfolg zu verhelfen.

Es muss aber auch erwähnt werden, dass die DS-GVO einiges von den Unternehmen abverlangen wird. Unternehmen werden ihre Datenverarbeitungssysteme ändern müssen: Betroffene (Kunden und Mitarbeiter) erhalten einen Anspruch auf eine Kopie der Daten, die die Unternehmen über sie gespeichert haben. Auch können sie die Übertragung dieser Daten an ein anderes Unternehmen ihrer Wahl verlangen. „Data Breaches“ wie etwa ein Datenverlust oder Hacking müssen den Datenschutzbehörden innerhalb der sehr kurzen Frist von 72 Stunden gemeldet werden. Außerdem kann eine Information der betroffenen Kunden oder Mitarbeiter notwendig werden. Aber auch im rechtlichen Bereich werden die Anforderungen steigen, wie z.B. an die Datenschutz-Einwilligungen und an die Transparenz der Datenverarbeitung.

Besonderes Augenmerk werden die Unternehmen auf die internationalen Aspekte der DS-GVO legen müssen, deren Anwendungsbereich hier wesentlich erweitert wurde. Zum einen wird sie für personenbezogene Daten gelten, die in der EU verarbeitet werden, auch wenn sie sich auf Nicht-EU-Bürger beziehen. Zum anderen wird sie auch für Daten über Individuen gelten, die in der EU wohnen, deren Daten aber im Ausland verarbeitet werden. Dies wäre z.B. der Fall, wenn ein U.S.-Unternehmen Dienstleistungen für deutsche Konsumenten über das Internet erbringt. Die Aufsichtsbehörden werden auch ein besonderes Augenmerk auf den internationalen Austausch personenbezogener Daten legen. Grds. gilt hier, dass der Export solcher Daten aus der EU heraus unzulässig ist, es sei denn, die Unternehmen schaffen hier besondere Schutzmaßnahmen, wie etwa durch „Binding Corporate Rules (BCRs)“. Die BCRs sind ein Vertrag zwischen allen Töchtern einer Unternehmensgruppe, die sich auf ein höheres Datenschutzniveau verpflichten, das dem der EU entspricht, auch wenn die Daten außerhalb der EU verarbeitet werden. Mit dem Abschluss eines solchen Vertrags ist es allerdings nicht getan: diesem muss ein Datenschutz-Compliance-Programm vorausgehen, das im Wesentlichen die DS-GVO-Erfordernisse implementiert. Erst dann erhält der Vertrag die erforderliche Genehmigung der Aufsichtsbehörden.

Im Ergebnis gibt es für die Unternehmen in den nächsten Jahren sehr viel zu tun, wollen sie die neuen drakonischen Strafen und die damit verbundenen Imageschäden vermeiden. Es wäre auch unrealistisch zu erwarten, dass die heute mit dem Datenschutz betrauten Abteilungen (etwa Datenschutzbeauftragte, Recht, etc.) diese neuen Anforderungen nebenher umsetzen können. Vielmehr verlangt die DS-GVO i.d.R. die Schaffung eines eigenen Projekts, das mit eigenen Mitteln (z.B. für externe Berater) und Ressourcen (z.B. für Projektmanager) ausgestattet ist. Wie oben gezeigt, wird die DS-GVO Änderungen der Geschäfts- und IT-Prozesse notwendig machen. Deshalb kann es sich um kein reines Projekt der Datenschutz-, Rechts- oder Compliance-Abteilung handeln, vielmehr müssen das COO Office und die IT zwingend eingebunden werden. Wegen der Tragweite der Änderungen oder der Größe des Projekts empfiehlt es sich, auch das Top-Management zum Projekt-Sponsor zu machen.

Zusammenfassend lässt sich also sagen, dass im Datenschutz in Europa ein Paradigmenwechsel ansteht. Das modernisierte Datenschutzrecht birgt für Unternehmen zahlreiche Chancen, aber auch Risiken. Sicher ist aber, dass es den Unternehmen einiges an Implementierungsarbeit abverlangen wird, die ein eigenes Budget und eigene Ressourcen erforderlich machen. Dabei darf man auch nicht den relativ kurzen Implementierungszeitrahmen von zwei Jahren übersehen. Angesichts der umfassenden Änderungen und der Non-Compliance-Risiken sollten Unternehmen mit ihrem DS-GVO-Projekt besser heute als morgen beginnen.