Auf die Plätze, fertig, los!

Die Europäische Datenschutz-Grundverordnung ist ab heute anwendbar

Keyfacts

  • Die DSGVO gilt für alle in der EU ansässigen Unternehmen und Branchen, die personenbezogene Daten verarbeiten.
  • Datenschutzverstöße, die zu einem Risiko für die Rechte und Freiheiten der Betroffenen führen können, müssen binnen 72 Std an die Aufsicht gemeldet werden.
  • Die Sicherheit der Datenverarbeitung muss nicht nur im eigenen Unternehmen, sondern auch bei Dienstleistern sichergestellt werden, die personenbezogene Daten im Auftrag verarbeiten.
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Nach nunmehr zweijähriger Umsetzungszeit ist die EU-Datenschutz-Grundverordnung (DSGVO) ab dem heutigen 25. Mai 2018 unmittelbar anwendbar. Sie gilt für alle in der EU ansässigen Unternehmen aller Größen und Branchen, die personenbezogene Daten verarbeiten. Auch Unternehmen mit Sitz außerhalb der EU unterliegen ihren Vorgaben. Dies immer dann, wenn diese Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

Viel war in den letzten Wochen über die DSGVO zu lesen. Über den teilweise noch nachholbedürftigen Umsetzungsstand in den Unternehmen. Über betrügerische Phishing-Mails, deren Urheber den Zeitdruck durch das Näherrücken des Stichtags für kriminelle Zwecke zum Zugang zu persönlichen Daten nutzen. Oder über die Frage, ob es für den künftigen Versand von Newslettern auf den letzten Drücker noch einer Bestätigung einer bereits erteilten Einwilligung bedarf. Dies zeigt vor allem zwei Dinge: Die DSGVO bringt einen enormen Umsetzungsbedarf mit sich, und vieles ist noch ungeklärt.

Datenschutzverstöße binnen 72 Stunden melden

In Puncto Umsetzung der DSGVO Anforderungen kommt es auf die Einrichtung eines wirksamen Datenschutz-Managements-Systems an. Nur so kann der mit der DSGVO einhergehenden Rechenschaftspflicht der Unternehmen genüge getan werden. Mit Blick auf die drastischen Sanktionsmöglichkeiten unter der DSGVO sollten ab dem heutigen Tage insbesondere die Dokumentations- und Transparenzanforderungen der Verordnung umgesetzt sein, damit die Betroffenenrechte form- und fristgerecht erfüllt werden können. Es müssen also die entsprechenden Prozesse, Zuständigkeiten und Templates vorliegen, um etwa dem Recht auf Auskunft, auf Datenübertragbarkeit oder Löschung entsprechen zu können. Zudem sollte sichergestellt werden können, dass Datenschutzverstöße, die zu einem Risiko für die Rechte und Freiheiten der Betroffenen führen können, binnen 72 Stunden an die Aufsicht gemeldet werden können. Auch die mögliche Benachrichtigung der Betroffenen sollte in diesem Prozess abgebildet sein. Zu denken ist in diesem Zusammenhang nicht nur an die Offenlegung von z. B. Kreditkartendaten durch einen Hacking-Angriff, sondern auch an interne Ereignisse, beispielsweise den Zugriff unberechtigter Mitarbeiter auf sensible Daten ihrer Kollegen wie Informationen zum Gehalt, Boni, sonstigen Bezügen oder Gesundheitsdaten.

Datenschutz und Dienstleister

Die Sicherheit der Datenverarbeitung ist nicht nur im eigenen Unternehmen sicherzustellen, sondern auch bei eingesetzten Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten. Auditierungen der dortigen Datenschutzorganisation sollten zum Standard gehören. Wer will ansonsten das Risiko tragen, dass sich der Datenschutzverstoß zwar nicht im eigenen Unternehmen, aber bei dem eingesetzten Dienstleister ereignet? Die DSGVO ist hier eindeutig: das Risiko tragen beide Parteien. Es ist also bereits vor Beginn der Verarbeitung sicherzustellen, dass der Dienstleister die Gewähr dafür bietet, dass die Datenverarbeitung unter Einsatz entsprechender technischer und organisatorischer Maßnahmen im Einklang mit der Verordnung erfolgt. Datenschutzspezifische Zertifizierungen und Wirksamkeitsprüfungen nach gängigen Prüfungsstandards wie z. B. dem IDW PS 980 können hier hilfreich sein.

Für die unternehmensinterne Datenschutzorganisation ist das Verarbeitungsverzeichnis von nun an das Basis-Dokumentationstool. Das vieldiskutierte Löschkonzept, das bereits nach dem Bundesdatenschutzgesetz (BDSG) vorzuhalten war, aber nun unabdingbar ist, hat den dort beschriebenen Informationen zu entsprechen. Alle Verarbeitungen sind einschließlich der genutzten Systeme und Anwendungen einer Risikoanalyse und – falls erforderlich – zusätzlich einer Datenschutz-Folgenabschätzung zu unterziehen. Für letzteres gibt die DSGVO selbst bereits erste Anhaltspunkte. Allerdings sind hier noch behördliche Konkretisierungen zu der Frage zu erwarten, welche Verarbeitungen stets und welche eben keiner Datenschutz-Folgenabschätzung zu unterziehen sind.

Risikobasierter Ansatz

Dies führt zu den noch ungeklärten Fragen. Gerade weil die DSGVO so anders ist als das bisherige Bundesdatenschutzgesetz, mit Öffnungsklauseln arbeitet und in Teilen eher generische Vorgaben macht, bleiben Einzelfragen bislang noch unklar. Dies ist zum Teil dem Wesen eines Management-Systems geschuldet. Die DSGVO verfolgt einen risikobasierten Ansatz. Dieser verlangt, dass der Datenverarbeiter, das Unternehmen, aktiv analysiert, wo und inwieweit die Grundsätze für die Verarbeitung personenbezogener Daten (Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verletzt werden könnten und entsprechende Maßnahmen nach Maßgabe der DSGVO einrichtet. Dies bedeutet in vielen Fällen ein hohes Maß an Detailanalyse und Einzelfallbeurteilung. „One size fits all“ wird es unter der DSGVO nicht geben. Die Bereitschaft, diese personelle wie auch finanzielle Herausforderung anzunehmen, wie auch der Mut, (vertretbare) Entscheidungen zu treffen, ist unverzichtbar. Die ist im Datenschutz ein Stück weit neu, war der Datenschutz doch bisher eher reaktiv angelegt.

Wer sich der nun geforderten Proaktivität aber nicht verschließt, die (zahlreichen) behördlichen Verlautbarungen intensiv verfolgt und beachtet und Datenschutz nicht nur als lästige Pflicht wahrnimmt, wird feststellen, dass es sich hierbei nicht nur um ein Compliancethema handelt. Die DSGVO ist auch unter Effizienzgesichtspunkten eine hilfreiche Gelegenheit, bisherige Prozesse, technische und organisatorische Maßnahmen und „liebgewonnene“ Strukturen auf den Prüfstand zu stellen. Schließlich sind alle Fachbereiche und Geschäftsprozesse von ihr betroffen. Das Ergebnis wird vielfach überraschend, wenn nicht sogar erfreulich sein.

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.