Es ist nur noch rund ein halbes Jahr, bis für schlecht vorbereitete Unternehmen das Worst-Case-Szenario eintreten könnte. Sie müssen kein Anbieter von Smart-Home-Technologie oder ein großer Versandhändler sein. Wenn am 25. Mai 2018 die EU-weite Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, drohen schlecht vorbereiteten Unternehmen Wettbewerbsnachteile und deutlich höhere Strafen, als bisher gewohnt.
Das deutsche Bundesdatenschutzgesetz (BDSG) sieht Bußgelder von höchstens 300.000 Euro für Verstöße vor, und in der Praxis lagen die tatsächlich verhängten Gelder häufig deutlich niedriger. Das neue EU-Recht sieht Strafen von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes vor. Wir erwarten hier außerdem eine europaweite Angleichung der tatsächlich verhängten Strafen. Die in Deutschland übliche Praxis, häufig eher am unteren Ende des möglichen Strafmaßes zu agieren, dürfte damit Geschichte sein.
Die gute Nachricht: Noch ist genug Zeit, diesen drohenden Nachteil in einen Wettbewerbsvorsprung zu verwandeln. Gut vorbereitete Unternehmen können die Einhaltung der neuen EU-DSGVO in ihrer Kommunikation positiv hervorheben. Frei nach dem Motto: Bei uns bekommen Sie den weltbesten Datenschutz nach EU-Recht.
Diese Dinge gilt es zu beachten
- Personal:
Bestimmen Sie einen Datenschutzbeauftragten. Für Unternehmen mit zehn oder mehr Mitarbeitern ist das zukünftig Pflicht. Ebenso für Unternehmen, die regelmäßig besondere personenbezogene Daten verarbeiten – zum Beispiel Bankverbindungen oder Daten zum Kundenverhalten. Der oder die Beauftragte sollte neben juristischen Kenntnissen zum Datenschutz auch wissen, wie IT-Systeme funktionieren und effektiv gesichert werden können. - Haftung:
Die EU-DSGVO sieht die Beweispflicht, dass ihre Regelungen eingehalten werden, bei den Unternehmen. Dazu braucht es ein professionelles Datenschutzmanagementsystem, um die Mitarbeiter zu entlasten und Haftungsrisiken zu vermeiden. - Folgenabschätzung:
Die neue Verordnung fordert eine so genannte Datenschutz-Folgeabschätzung (DSFA). Das heißt, dass jedes Unternehmen dokumentieren muss, dass es sich mit möglichen Gefahren beschäftigt hat, bevor es Daten erhebt. Konkret heißt das: Könnten durch bestimmte Daten die Rechte oder Freiheiten von Kunden oder Angestellten verletzt werden, so muss das Unternehmen diese Folgen vor der Datenerhebung abschätzen – und diesen Vorgang im Zweifel nachweisen können. - Löschpflicht:
Die DSGVO endet nicht im eigenen Unternehmen. Besteht ein Kunde auf sein gesetzliches Recht auf Vergessenwerden und fordert die Löschung seiner Daten, reicht es nicht, diese aus den eigenen Systemen zu entfernen. Als Unternehmen müssen Sie auch Dritte, die diese Daten verarbeitet oder veröffentlicht haben, von der Löschung informieren und diese durchsetzen. - Schwachstellen beseitigen:
Ist Ihre IT nicht auf dem Stand der Technik, kann das künftig sehr teuer werden. Werden bei Ihnen technische oder organisatorische Schwächen beim Datenschutz entdeckt – etwa durch ein vermeidbares Datenleck – beträgt die Strafe künftig bis zu zwei Prozent des Vorjahresumsatzes. - Portabilität:
Sie müssen für die Portabilität von personenbezogene Daten sorgen, die Sie gespeichert haben. Auf Antrag müssen Unternehmen jederzeit dazu in der Lage sein, diese in einem gängigen und maschinenlesbaren Format an ein anderes Unternehmen zu übermitteln. - Internationale Geschäfte:
Die DSGVO beinhaltet zwar rund 60 Öffnungsklauseln, die es einzelnen EU-Mitgliedsstaaten erlauben, vom europäischen Standard abzuweichen. Besonders Unternehmen, die in mehreren EU-Mitgliedsstaaten aktiv sind, sollten von eventuellen Erleichterungen trotzdem keinen Gebrauch machen. Nur, wer die neue DSGVO vollständig umsetzt, ist in jedem Fall auf der sicheren Seite.
Wenn Sie Fragen zur DSGVO haben oder wenn ich Sie bei der Umsetzung unterstützen kann, melden Sie sich gerne bei mir per E-Mail oder über meine Mitarbeiterin, Frau Xhonneux telefonisch unter (0241) 94621-120.
Dr. Eric Heitzer ist Rechtsanwalt (u.a. mit dem Fachgebiet IT und Datenschutz) und Bankkaufmann.
Er hat für verschiedene Unternehmen, beispielsweise in der TK-Branche, die Aufgaben eines externen Datenschutzbeauftragten wie auch die des ausgelagerten Compliance-Offices übernommen.
