Donnerstag, 21.12.2017

Foto: Gintas77/Thinkstock/Getty Images

Schutz vor Datenmissbrauch: Ab Mai 2018 müssen alle Unternehmen ihren Umgang mit sensiblen Daten dokumentieren.

Recht & Steuern
EU-Datenschutzgrundverordnung

„Nicht jede Datenpanne mündet gleich in ein Bußgeld“

Im Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft und regelt europaweit den Datenschutz neu. Rechtsanwalt Stefan Maas erklärt, warum sich Nachzügler jetzt sputen sollten – aber auch, welche Vorteile die EU-DSGVO deutschen Mittelständlern bringt.

Herr Maas, was bedeutet das Inkrafttreten der EU-Datenschutzgrundverordnung für mittelständische Unternehmen?
Ab dem 25. Mai 2018 gelten europaweit dieselben rechtlichen Regularien. Den Mitgliedstaaten verbleiben nur noch in engen Grenzen eigenständige Regelungen. Der Datenverkehr soll innerhalb der EU gefördert – also erleichtert – und die Rechtsverfolgung im Falle von Verstößen verschärft werden.

Aktuelles aus dem Mittelstand: Folgen Sie uns auf Zum Linkedin Profil von Markt und Mittelstand und Zum Linkedin Profil von Markt und Mittelstand


Was verändert sich gegenüber der bisherigen Gesetzgebung?
Vor allem die Dokumentationsanforderungen sind deutlich gestiegen. Bevor personenbezogene Daten verarbeitet werden dürfen, muss das Unternehmen prüfen, ob eine Datenschutzfolgenabschätzung notwendig ist. Die Beantwortung dieser Frage richtet sich nach der Art der geplanten Datenverarbeitung – aus Sicht der Betroffenen. Auch die Zahl der Personen, die als Beteiligte von Verarbeitungsvorgängen zur Rechenschaft herangezogen werden können, wurde deutlich ausgeweitet: Neben den eigentlichen Verantwortlichen sind dann auch beauftragte Dienstleister haftbar.

Foto: Maas Rechtsanwälte

Stefan Maas ist Fachanwalt für gewerblichen Rechtsschutz mit Schwerpunkt auf Medienrecht, Internetrecht und E-Business

Überwiegen für Firmen aus Ihrer Sicht die Vor- oder die Nachteile?
Es findet zunächst eine dringend erforderliche Modernisierung des Datenschutzrechts (EU-DSGVO) statt. Entscheidend ist natürlich, wie die Neuregelungen künftig von den Aufsichtsbehörden interpretiert und angewendet werden, und welche Entscheidungen seitens der Gerichte auf die Unternehmen zukommen. Im Marketing und der Digitalisierung ist aus deutscher Sicht von einer leichten Liberalisierung auszugehen. All das kann man als überwiegende Vorteile werten.

Gilt die Verordnung für alle Unternehmensgrößen und Branchen?

Ja – sie gilt unterschiedslos für alle gleich. Sie löst das bisherige Bundesdatenschutzgesetz ab. Mit dem deutschen Umsetzungsgesetz wird zwar zugleich ein neues Bundesdatenschutzgesetz eingeführt, dies hat aber eine gänzlich andere Funktion und regelt gerade nicht die Grundlagen des Datenschutzes, wie es aktuell noch der Fall ist. Diese Grundlage finden sich künftig in der EU Datenschutzgrundverordnung.

Wie wird sich der deutlich höhere Dokumentationsaufwand für ein Unternehmen konkret im Alltagsgeschäft auswirken?

Plant ein Unternehmen etwa die Anschaffung einer neuen Software, die personenbezogene Daten verarbeitet, so muss in der Planungsphase bereits eine Prüfung über die Auswirkungen des Datenschutzes durchgeführt und dokumentiert werden. Dies gilt erst recht, wenn besonders sensible Daten verarbeitet werden, etwa Personalien, Gesundheitsangaben oder auch Bankverbindungen. Diese Datenschutzfolgenabschätzung, ist umfangreich und bedarf ihrerseits einer sorgfältigen Vorbereitung. Die festgestellten Konsequenzen, das sind vor allem datenschutzfördernde Maßnahmen, müssen ebenfalls laufend dokumentiert werden. Die festgestellten Risiken müssen laufend überwacht werden. Auch dies muss dokumentiert werden.

Vor allem kleinere Mittelständler, haben bisher oft noch keinen Datenschutzbeauftragten. Brauchen Sie den jetzt?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird sich in Deutschland nicht ändern. Sie hängt von der Mitarbeiteranzahl (ab zehn) und der Sensibilität der verarbeiteten Daten ab.

Wie kostenintensiv ist die Umsetzung der neuen Vorschriften?
Datenschutz kostet natürlich immer Geld. Auf der anderen Seite befasst sich der Datenschutz mit Fragen, die vielfach gerade im Mittelstand noch viel zu selten detailliert durchleuchtet worden sind. Welche Daten haben wir, wer kennt diese bzw. hat Zugriff auf diese? Sich mit dem Datenschutz intensiv zu befassen, hat ja auch seine positiven Seiten: Das Unternehmen sichert sich zum einen ab, etwa im Hinblick auf Geschäfts- und Betriebsgeheimnisse. Zum zweiten können neue Einblicke gewonnen werden, die Wertschöpfungen ermöglichen, oder helfen die Kosten zu reduzieren.

Was verändert sich bei der Haftung für die Geschäftsleitung?

Der Haftungsaspekt bleibt auch in der EU-DSGVO überaus wichtig. Die Verursachung einer Ordnungswidrigkeit, etwa die Nichtbestellung des Datenschutzbeauftragten oder die unterlassene Meldung gegenüber der Aufsicht, wenn es ein Datenleck gab, führen zwangsläufig zur persönlichen Haftung der Geschäftsleitung. Das wäre grob fahrlässiges Verhalten und lässt sich auch nicht mit einer Directors-and-Officers (D&O)-Versicherung verlagern.

Studien zeigen, dass viele Unternehmen noch nicht auf die neue Verordnung vorbereitet. Gibt es eine Übergangsregelung bis zum vollumfänglichen Inkrafttreten? 

Nein, es gibt keine weitere Übergangsregeln. Die Datenschutzgrundverordnung ist schon 2016 verabschiedet worden, die Vorschrift, dass die Regeln ab Mai 2018 anzuwenden sind, ist somit schon so eine Art Übergangsregelung. Das bedeutet, der Umstellungszeitraum läuft bereits.

Was empfehlen Sie mittelständischen Unternehmen, die noch keine Vorbereitungen getroffen haben?
Sie sollten dringend Projektteams aufstellen, die sich mit der Umstellung befassen, die Planungen aufstellen und dann in die operative Umsetzung gehen. Dazu sollte der Status Quo zum Thema Datenschutz festgestellt, die Datenflüsse analysiert, Standardprozesse für die Datenauswahl aktualisiert und ein entsprechender Management- und Dokumentationsrahmen (Datenschutz- und IT-Sicherheitsmanagementsystem) geschaffen werden.

Bei Verstößen können die Strafen bis zu 20 Millionen Euro betragen...

… ja oder bis zu 4 Prozent des weltweiten Umsatzes betragen, damit wurde der Bußgeldrahmen deutlich angehoben.

Müssen kleinere Unternehmen jetzt Angst haben, dass Sie ruiniert werden, wenn Sie die Vorschriften nicht korrekt umsetzen?
 
Das Ziel der EU ist nicht, Unternehmen zu gefährden, sondern den Datenschutz zu fördern. Am wichtigsten ist es, dem Datenschutz einen angemessenen Rahmen im Unternehmen zu geben und dies auch nach außen hin zu dokumentieren. Sollte es zu Verstößen und Verfahren kommen, besteht eine der zentralen Maßnahmen darin, mit Hilfe von Spezialisten den Vorgang aufzuarbeiten und mit den zuständigen Behörden abzustimmen. Nicht jeder Datenschutzverstoß und nicht jede Datenpanne wird gleich in einem Bußgeld münden. Andererseits hat schon jetzt die Zahl der Datenpannen und Anzeigen gegenüber den Behörden deutlich zugenommen. Das Thema gewinnt immer mehr an Bedeutung und sollte daher sehr ernst genommen werden.


Der Text gehört zu einem Thema aus der Markt-und-Mittelstand-Ausgabe 12/2017 – 01/2018. Hier können Sie das aktuelle Heft bestellen und „Markt und Mittelstand“ abonnieren.