Thought Leadership
Es ist nicht einmal mehr ein Monat Zeit, bis die Datenschutzgrundverordnung (DSGVO) ab dem 25.05.2018 anzuwenden sein wird und dann ihre volle Rechtswirkung entfaltet. Damit werden sich die datenschutzrechtlichen Vorgaben erheblich ändern und Unternehmen müssen auf diese „neue Welt“ vorbereitet sein.
Bei der DSGVO ist es nicht zu spät, mit der Umsetzung der Vorgaben zu beginnen. Vielmehr ist diese dringend in Angriff zu nehmen. Die Vorgaben werden das Wirtschaftsleben und den Betrieb in jedem Unternehmen zukünftig erheblich prägen. Datenschutz und Datennutzung haben nicht nur in den letzten Wochen, doch gerade durch Cambridge Analytica, eine erhebliche öffentliche Aufmerksamkeit erlangt. Die Einhaltung dieser Vorschriften entwickelt sich – eben gerade auch wegen der möglichen hohen Bußgelder der DSGVO – immer mehr zu einer wichtigen Compliance-Anforderung beziehungsweise auch einem Verkaufsargument für ein Produkt mit hohem Datenschutzniveau. Nun ist ein Monat nicht mehr viel Zeit, aber auch in diesem kurzen Abschnitt können Unternehmen einiges erreichen, um mit der Umsetzung der DSGVO zu beginnen.
Verschaffen Sie sich Klarheit über die Datenstrukturen in Ihrem Unternehmen
So banal es klingt, können viele Geschäftsführer beziehungsweise auch Abteilungsverantwortliche bereits im ersten Schritt die einfache Frage, welche personenbezogenen Daten denn in ihrem täglichen Geschäft verarbeitet werden, nicht klar beantworten. Dies ist eigentlich auch wenig überraschend, da es in vielen Geschäftsbereichen zwar üblich ist, Daten zu verarbeiten, aber auf welcher Rechtsgrundlage dies geschieht oder ob diese Verarbeitung tatsächlich notwendig ist, wird kaum thematisiert.
Nun ist es jedoch so, dass die Umsetzung der umfassenden Vorgaben der DSGVO, zum Beispiel hinsichtlich der Auskunftsrechte von beziehungsweise Informationspflichten gegenüber betroffenen Personen, deren Daten verarbeitet werden, kaum sinnvoll zu erfüllen ist, wenn nicht eine Klarheit darüber besteht, in welchen Unternehmensteilen, zu welchem Zweck und von welchen Personen diese Daten wie verarbeitet werden. Ohne diese Informationen können weder Prozesse hinsichtlich den Vorgaben einer Datensparsamkeit angepasst, noch mit angemessenem Aufwand Auskünfte an betroffene Personen erteilt werden.
Dieser erste Schritt, die Erstellung einer – bildlich gesprochen – „Datenkarte“ für das eigene Unternehmen, stellt die Grundlage für die Umsetzung der DSGVO dar, da nur anhand einer solchen die notwendigen Maßnahmen identifiziert werden können.
Strukturen sind elementar
Die gerade beschriebene “Karte” ist die Grundlage für einen der zentralen Bestandteile des Datenschutzes in einem Unternehmen, das Datenschutzmanagement und, als elementarer Bestandteil eines solchen Systems, das Verarbeitungsverzeichnis. Ein solches mussten Unternehmen zu großen Teilen bereits zuvor führen, aber unter der DSGVO ist die Bedeutung nochmals gestiegen.
In einem solchen Verarbeitungsverzeichnis wird festgehalten, welche Daten verarbeitet werden, welche Informationsflüsse bestehen, welche IT-Systeme für die jeweilige Verarbeitung verwendet werden und wann und aus welchem Grund Daten an Dritte, zum Beispiel auch außerhalb der EU, übermittelt werden. Diese Informationen, die zuvor ermittelt werden und dann transparent in diesem Verzeichnis festzuhalten sind, bilden den notwendigen Überblick, der eine Umsetzung von datenschutzrelevanten Maßnahmen ermöglicht.
Prüfen Sie insbesondere, wann und warum Daten das Unternehmen verlassen
Bei der Datenerhebung ist unbedingt festzustellen, ob Daten an Dritte außerhalb des jeweiligen Unternehmens übermittelt werden. Hier gilt es auch zu beachten, dass das Datenschutzrecht weiterhin kein umfassendes Konzernprivileg kennt. Vielmehr ist es so, dass auch der Datentransfer zwischen zwei in einem Konzern verbundenen Gesellschaften als Übermittlung an Dritte gilt.
Jede dieser Übermittlung bedarf einer Rechtsgrundlage, welche entsprechend zu identifizieren ist. Eine besondere Herausforderung stellt dabei der Datenexport, also die Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraumes, dar.
Relativ häufig sind Unternehmen der Auffassung, dass sie nichts mit einem Datenexport zu tun haben, da sie ja nur lokal tätig wären und kein internationales Geschäft betreiben würden. In der heutigen IT-Welt ist dies jedoch häufig eine Fehlvorstellung. Viele Unternehmen nutzen Cloud-Dienste zum Beispiel zur Speicherung von Dateien oder auch Angebote wie Google-Docs oder Office 365. Auch werden Dienstleister eingebunden, die selbst auf gemietete Server-Infrastrukturen von zum Beispiel AWS zurückgreifen.
Bei all diesen Diensten ist es nicht unbedingt auf den ersten Blick ersichtlich, wo die gespeicherten Daten abgelegt werden und ob aufgrund der Architektur nicht doch ein Datenexport außerhalb des Europäischen Wirtschaftsraums vorliegt. Viele Anbieter bieten in diesem Zusammenhang an, dass die Daten tatsächlich nur im europäischen Raum verarbeitet werden.
Daher ist auch dringend zu prüfen, ob diesbezüglich in dem jeweiligen Unternehmen ein Handlungsbedarf besteht.
Die Außenwahrnehmung ist wichtig
Unternehmensintern die Prozesse zu optimieren und an die Anforderungen der DSGVO anzupassen, wird einige Zeit in Anspruch nehmen. Was daher prioritär in Angriff genommen werden sollte, sind Maßnahmen, die nach außen gerichtet sind. Dies betrifft zum Beispiel die Versendung von Newslettern, die Datenschutzerklärung auf der Website sowie auch die unter Umständen notwendige Bestellung eines Datenschutzbeauftragten.
Prüfen Sie, insbesondere, ob Sie einen Datenschutzbeauftragten bestellen müssen oder ob die Hinzuziehung einer externen Expertise für die Umsetzung der DSGVO notwendig ist. Als Faustformel bleibt, dass jedes Unternehmen, welches über zehn Mitarbeiter regelmäßig beschäftigt, in der überwiegenden Zahl der Fälle einen Datenschutzbeauftragten benötigen wird. Weitere Fälle sind insbesondere in dem neuen § 38 BDSG geregelt.
Hinsichtlich der zukünftigen Möglichkeit der Versendung von Newslettern an bestehende Kunden beziehungsweise Einwilligungserklärungen ist eine Überprüfung notwendig ist, ob eine ausreichende Dokumentation der Einwilligung besteht. Sollte dies nicht der Fall sein, heißt es, Einwilligungserklärungen unter Umständen rechtssicher zu erneuern. Dies ist jedoch ein genau zu prüfender Schritt.
Zuletzt geht es darum, insbesondere auch die Betroffenenrechte hinsichtlich der Erhebung von Daten zu gewährleisten. Dies bedeutet, dass Personen mitgeteilt wird, wenn Daten über sie erstmalig erhoben werden. Diese haben auch ein Auskunftsrecht hinsichtlich der bestehenden Daten. Es sind die Datenschutzerklärungen anzupassen und ein System zu installieren, welches eine effiziente Information der Betroffenen ermöglicht.
Dies ist nicht das Ende der Welt, sondern der Beginn
Die DSGVO wird ein Thema sein, dass die Wirtschaftswelt in den nächsten Jahren begleiten wird. Vieles wird sich erst in den nächsten Monaten bzw. Jahren nach ersten Gerichtsverfahren klären und erst dann wird es möglich sein, verschiedene Problematiken, die zum jetzigen Zeitpunkt noch unklar sind, einer rechtsverbindlichen Lösung zuzuführen. Die Grundlagen werden sich jedoch nicht maßgeblich ändern, sodass es nie zu spät ist, mit der Arbeit der Umsetzung zu beginnen.
Dr. Hans-Christian Woger ist Rechtsanwalt bei CMS Deutschland und hat sich auf wettbewerbs- und markenrechtliche Streitigkeiten sowie Datenschutz- und Softwarerecht spezialisiert. Zu seinen Mandanten zählen unter anderem Startups und mittelständische Unternehmen aus der Online- und Tech- sowie Energiebranche.
https://cms.law/de/DEU/
