Freitag, 28.07.2017

Foto: Malekas85/Thinkstock/GettyImages

Kontrolle statt Vertrauen: Beim Datenschutz müssen Unternehmer ab Mai 2018 noch sorgfältiger arbeiten, um die gesetzlichen Vorgaben zu erfüllen.

Recht & Steuern
Ab Mai 2018

Neues Datenschutzrecht bedeutet Aufwand für Unternehmen

Das neue Datenschutzrecht führt zu einem höheren verwalterischen Aufwand und mehr Arbeit in zahlreichen Unternehmen. Die Firmen haben aber nur wenig Zeit für die Anpassung ihrer Organisation. Was Sie bei der Umstellung beachten müssen.

„Kein großer Wurf“ – das Urteil des Bitkom, des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien, über das neue Bundesdatenschutzgesetz (BDSG) fällt eindeutig aus. Das Regelwerk wurde Ende April vom Bundestag verabschiedet und wird – aller Voraussicht nach – im Mai kommenden Jahres in Kraft treten. Damit werden die Regelungen hierzulande an die Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) angepasst und der wesentliche Rechtsrahmen für die Datenverarbeitung in Deutschland gesetzt. „Ein großer Wurf“,urteilt dagegen Peter Jordan, Experte für IT-Risikomanagement bei dem Wirtschaftsprüfer LKC-Gruppe, jedoch fügt er einschränkend hinzu: „Wenn er auch seine selbstgesteckten Ziele nicht ganz erreicht.“ So sei das Nicht-Erwähnen von Begriffen wie Cloud oder Big Data im Gesetz ein echtes Defizit. Schließlich sei der Anspruch des Gesetzgebers, den über zwei Jahrzehnte alten Datenschutz von Grund auf zu modernisieren und an die Welt der Digitalisierung anzupassen.

Wie man die künftige EU-DSGVO auch beurteilen mag – einig sind sich die Experten darin, dass die Rechtsänderung mittelständischen Unternehmen erheblichen Aufwand abverlangen wird. Sie müssen ihre internen und externen Prozesse und Verträge an die neuen Regeln anpassen. Schon die europaweit geltenden Vorschriften erschienen dem Bitkom als „zu bürokratisch und zu wenig zukunftsgerichtet“. Doch das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (kurz: DSAnpUG-EU), durch das die EU-Verordnung (EU) 2016/679 und die EU-Richtlinie (EU) 2016/680 in nationales deutsches Recht überführt werden, verschärfe diesen Befund nur noch mehr.

Folgen Sie Markt und Mittelstand jetzt auch auf LinkedIn:    


Terminzwänge

Die Vorgaben zur Verarbeitung der persönlichen Daten von Mitarbeitern stellen nach Ansicht des IT-Branchenverbands unnötige bürokratische Hürden dar. Doch gerade diese Vorschriften müssen Unternehmer, ob sie wollen oder nicht, im Blick haben, wenn sie keinen Konflikt mit dem Gesetz riskieren wollen. „Die Geschäftsführer von mittelständischen Unternehmen glauben immer noch an das Vollzugsdefizit der Datenschutz-Aufsichtsbehörden und geben sich der Hoffnung hin, dass dies so bleiben werde“, sagt Datenschutzexperte Stephan Rehfeld, Geschäftsführer der Scope & Focus Service-Gesellschaft in Hannover, „doch da werden sie sich in Zukunft gewaltig irren“.

Berechtigten Anlass zur Sorge hätten die Datenschutz-Verantwortlichen in den Firmen allemal. Mehr als zwei Drittel der von Netapp befragten IT-Manager in Europa sind sich unsicher, ob sie ihre Organisation überhaupt bis zum 25. Mai 2018 auf die einheitlichen EU-Datenschutzbestimmungen umstellen können. Immerhin: Im Vergleich mit Firmen in Frankreich und Großbritannien stehen die deutschen Unternehmen noch am besten da. Um die Umstellung einigermaßen reibungslos zu bewerkstelligen, hat mehr als ein Viertel der mittelständischen IT-Manager Experten für Datenschutzthemen eingestellt.

Die Zeit drängt. Wenn die Unternehmen ihre Hausaufgaben nicht machen, drohen sehr empfindliche Strafzahlungen, die richtig ins Geld gehen können. Der Staat macht sich zum Abkassieren schon mal bereit: Die amtlichen Datenschützer stocken ihren Personalbestand derzeit massiv auf. Bei Verstößen gegen die Transparenz bei der Verarbeitung und der Übermittlung personenbezogener Daten können nach den Maßgaben der EU-DSGVO hohe Bußgelder verhängt werden. Selbst bei scheinbar geringen Verstößen etwa gegen die Meldepflicht können von den Firmen bis zu 20 Millionen Euro – oder 4 Prozent des Umsatzes – verlangt werden. Diese Sanktion gilt „pro Verstoß“, warnt As-trid Luedtke, Rechtsanwältin und Salaried Partnerin bei der Kanzlei Heuking Kühn Lüer Wojtek. Ihre Spezialgebiete sind der gewerbliche Rechtsschutz, das Datenschutz- sowie das Medienrecht.

Sicherheitsmaßnahmen

Daher dürfte den Unternehmen nichts anderes übrigbleiben, als sich auf deutlich mehr Bürokratie einzustellen. Einen höheren Aufwand als bisher wird auch der aus dem alten Recht bekannte Artikel 32 bereiten, bei dem es um die „Informationssicherheit bei der Erhebung und Verarbeitung personenbezogener Daten“ geht. Hier wird Unternehmen künftig vorgeschrieben, ein Informationssicherheits-Managementsystem für die Verarbeitung personenbezogener Daten einzusetzen. Damit ein solches System überhaupt eingeführt werden kann, muss das Unternehmen seine Firmen-IT zuvor einer peniblen Risikoanalyse unterziehen. Werden mögliche Schwachstellen entdeckt, muss das Unternehmen sie nicht nur im Rahmen seiner „Rechenschaftspflicht“ dokumentieren, sondern auch noch Abwehrmaßnahmen entwickeln.

Wie schnell sich ein Unternehmen aus Datenschutzsicht in Schieflage befinden kann, beschreibt Florian van Keulen, Sicherheitsexperte beim IT-Dienstleister Trivadis: „Der Datenzugriff von überall und mit mobilen Endgeräten ist für den ‚Information-Worker‘ von heute quasi Standard. Er bewegt sich also grundsätzlich in einer unsicheren Zone, die mit klassischen Sicherheitsprinzipien nicht geschützt werden kann.“ Das gelte auch für neue Anwendungsszenarien wie die Digitalisierung, die neue Konzepte für den Datenschutz verlangen: „Mit dem Internet der Dinge und Technologien wie Big Data fallen Datenberge an, die häufig vertrauliche Informationen beinhalten.“

Genaue Protokolle

Auch Veränderungen oder Erweiterungen der Unternehmens-IT müssen in die Risikoanalyse aufgenommen werden. Kompliziert wird es, wenn trotz risikominimierenderAktivitätendie Analyse zu dem Ergebnis kommt: Die Rechte und Freiheiten des Betroffenen sind einem hohen Risiko ausgesetzt. Dann muss das Unternehmen ein Verfahren zur Datenschutz-Folgenabschätzung durchlaufen, und auch die Konsultation der zuständigen Aufsichtsbehörde ist vorgeschrieben. „Diese Vorschrift hat nicht nur Auswirkungen auf die Ausgestaltung der Unternehmens-IT, sondern auch auf die Entwicklung von neuen Produkten und Dienstleistungen“, sagt Rehfeld.

Daher rät auch Rechtsänwaltin Astrid Luedtke dazu, möglichst rasch mit den Umstellungen auf das neue Datenschutzrecht zu beginnen (siehe Infobox). Das kann beträchtliche Zeit in Anspruch nehmen. So dürfte die Analyse des Handlungsbedarfs durch die neuen Anforderungen bis zu einem Vierteljahr dauern. Für die darauffolgende Anpassung der Geschäftsprozesse muss das Unternehmen nochmals bis zu acht Monate veranschlagen, sind sich die IT-Experten sicher.

Besserung in Sicht

Die Datenschutz-Veränderung bringt aber nicht nur Nachteile für Unternehmen, berichtet Peter Jordan von der LKC-Gruppe. So soll das bislang unübersichtliche Datenschutzrecht der einzelnen EU-Mitgliedsstaaten europaweit vereinheitlicht werden, damit über die Länder hinweg dieselben Spielregeln gelten. Und auch den gestiegenen Anforderungen durch die Digitalisierung soll es gewachsen sein. „Diese Umgestaltung ist angesichts der vielfältigen neuen technischen Anwendungen dringend erforderlich, da sie den Schutz natürlicher Personen und den freien Verkehr gewährleisten soll“, sagt Jordan.

Allerdings kritisiert er den Umstand, dass nicht eine der neuen Digitalisierungstechnologien in den 99 Artikeln der EU-DSGVO ausdrücklich genannt wird. Dabei dürften doch gerade internationale Cloud-Lösungen in das Licht der Datenschützer rücken. Denn das Datenschutz-Abkommen „Privacy Shield“, das vor einem Jahr zwischen der EU und den USA geschlossen wurde, steht unter Beobachtung. Nach Einschätzung von Sebastian Bluhm, Vorstand beim Hostinganbieter Profihost, könnte eine Überprüfung des transatlantischen Abkommens anstehen und eine deutliche Änderung für Unternehmen mit sich bringen. Das wäre etwa der Fall, wenn die EU-Kommission Nachbesserungen beim Datenschutz fordert oder wenn das Abkommen einseitig aufgekündigt würde.

Unsicherheit droht aus den USA

Grund für die Verunsicherung ist die Auffassung der US-Regierung, dass der „Privacy Act“ vor allem die Privatsphäre ihrer Bürger schützen soll. Daher bieten nach Auffassung von Beobachtern wie Bluhm die Datenschutzabkommen Privacy Shield und Umbrella Agreement „wenig Planungssicherheit in der Zusammenarbeit mit US-amerikanischen Firmen“. So hätten die USA bereits in der Vergangenheit zahlreiche Datenschutzversprechen in großem Stil gebrochen und Daten in gigantischem Umfang ausspioniert.

Daher sei es für Unternehmen an der Zeit, „Anbieter, die ein klares Bekenntnis zum Standort Deutschland und den dort geltenden Datenschutz-Bedingungen abgeben“, zu favorisieren, sagt Bluhm.

Info

Umstellen auf das neue Datenschutzrecht

  • Erlaubnistatbestände: Für jede Verarbeitung personenbezogener Daten im Unternehmen muss geprüft werden, ob sie auch nach den neuen Erlaubnistatbeständen der EU-DSGVO zulässig ist.
  • Einwilligungserklärungen: Sie unterliegen künftig erweiterten Anforderungen. Deshalb müssen bisherige Prozesse und verwendete Texte geprüft und angepasst werden.
  • Informationspflicht über Datenverarbeitung: Mitarbeiter und Kunden müssen mehr als bisher über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Der daraus resultierende Anpassungsbedarf muss von den Unternehmen ermittelt werden.
  • Einführung eines Datenschutz-Compliance-Systems: Die EU-DSGVO verpflichtet Unternehmen dazu, ein – für die Unternehmensgröße und die jeweiligen Datenverarbeitungsvorgänge angemessenes – Datenschutz-Compliance-System ein- und umzusetzen.
  • Verzeichnis über Datenverarbeitung: Die EU-DSGVO bringt für Unternehmen die Pflicht, ein Verzeichnis darüber zu führen, welche Form der Datenverarbeitung dort stattfindet und was genau verarbeitet wird.
  • Datenschutz-Folgenabschätzung: Bei bestimmten Verarbeitungsprozessen (auch bei schon laufenden) muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
  • Anpassung Lieferanten- und Dienstleisterverhältnis: Auch der Einsatz von Dienstleistern und sonstigen Auftragsverarbeitern muss an die rechtlichen Neuerungen angepasst werden.

Der Text gehört zu einem Thema aus der Markt-und-Mittelstand-Ausgabe 6/2017. Hier können Sie das Heft bestellen und „Markt und Mittelstand“ abonnieren.