EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

DSGVO: Die Zeit wird knapp

Was die neue Gesetzeslage für Unternehmen bedeutet – und worauf es jetzt ankommt

Keyfacts über DSGVO

  • Datenschutz wird europaweit vereinheitlicht
  • Beweislastumkehr stärkt Verbraucher
  • Gesetz bietet Chancen für Unternehmen
Zusammenfassung lesen Magazin herunterladen

In weniger als einem Jahr wird EU-weit die neue EU-Datenschutz-Grundverordnung (DSGVO) wirksam. Ab dem 25. Mai 2018 müssen alle Unternehmen, die sich mit der Verarbeitung von Daten beschäftigen, die neuen Regeln beachten. Die Grundverordnung soll europaweit einen einheitlichen Standard in Sachen Datenschutz herstellen – und zwar nicht nur für Unternehmen mit Sitz in Europa. Sondern nach dem sogenannten Markortprinzip auch für Konzerne, die auf dem europäischen Markt aktiv sind oder das Verhalten von EU-Bürgern beobachten.

Barbara Scheben, Partnerin Compliance & Forensic bei KPMG Deutschland, berichtet im Interview darüber, was sich durch die neue Gesetzeslage ändert – und worauf Unternehmen jetzt achten müssen.

Frau Scheben, worum geht es bei der Datenschutz-Grundverordnung?

Den deutlichsten Unterschied zum bisherigen Regelwerk sehe ich in der Einführung der sogenannten Rechenschaftspflicht für den Verantwortlichen; also das Unternehmen. Dieses muss die Einhaltung aller Vorgaben der DSGVO jederzeit nachweisen können. In der Praxis wird dies zu einer Beweislastumkehr führen. War es früher so, dass Verbraucher, Mitarbeiter oder Kunden, die den Verdacht hatten, dass der Schutz ihrer personenbezogenen Daten verletzt wurde, dies beweisen mussten, ist dies heute gerade umgekehrt. Das Unternehmen muss den Nachweis führen, dass es die Vorgaben der DSGVO eingehalten hat.  Neben den unmittelbar Betroffenen haben künftig aber auch Verbraucherschutzverbände die Möglichkeit, Klage zu erheben.

Parallel dazu steigen auch die Bußgelder in einem Umfang, der auch für Großunternehmen durchaus relevant ist. So drohen künftig Strafzahlungen bis zu 20 Millionen Euro oder aber bis zu vier Prozent des weltweit erzielten Jahresumsatzes – und zwar abhängig davon, welche Summe höher ist.

Den Unternehmen werden also die Daumenschrauben angelegt. Ist das nicht kontraproduktiv in einem solchen Wachstumsmarkt?

Ich sehe das anders. Tatsächlich ist es so, dass der Datenschutz in den letzten Jahren sehr stark in den Fokus der öffentlichen Diskussion gerückt ist. Dies hat zum Teil auch dazu geführt, dass viele Verbraucher den neuen Möglichkeiten der Digitalisierung gegenüber sehr kritisch eingestellt sind. Die neuen Regeln bieten hier für Unternehmen eher eine Chance: Wer jetzt besonders transparent agiert, kann in einem umkämpften Markt verhältnismäßig leicht Standards setzen, die der Verbraucher honoriert. Und: Die strengen Vorgaben der DSGVO werden auch dazu führen, dass Unternehmen nur noch diejenigen Daten verarbeiten und speichern, die sie wirklich für ihre Aufgaben benötigen. Dies schafft auf der einen Seite mehr Schutz – was nicht gespeichert ist, kann nicht verloren gehen oder kompromittiert werden. Auf der anderen Seite aber auch ein immenses Einsparpotential. Denn die Tendenz ging bisher dahin, alle Daten, auch diejenigen, die man seit Jahren nicht mehr benötigt, aufzubewahren und zu archivieren. Hier werden nun enorme Kapazitäten frei, was wiederum Geld spart.

Ist die DSGVO eine Art Prüfsiegel für besonders datenschutzaffine Unternehmen?

Das wohl eher am Ende eines langen Prozesses. Praktisch geht es zunächst darum, die ganz handfesten Forderungen zu erfüllen, die das neue Regelwerk aufstellt. An der Stelle ist wichtig zu erwähnen, dass künftig nicht nur der konkrete Verstoß gegen den Datenschutz Bußgelder nach sich ziehen kann. Sondern bereits das Nicht-Vorhandensein von Prozessen und Maßnahmen nach den Vorgaben der Datenschutz-Grundverordnung ist bußgeldbewehrt.

4

Prozent des weltweit erzielten Jahresumsatzes drohen als Bußzahlung bei Verstößen gegen die Datenschutz-Grundverordnung.

Was müssen Unternehmen jetzt tun?

Um der Rechenschaftspflicht gerecht zu werden, müssen die Unternehmen ein Datenschutz-Management-System einrichten. Dieses umfasst klare Rollen und Verantwortlichkeiten, ein Rahmenregelwerk mit korrespondierender Aufbau- und Ablauforganisation und entsprechenden Regelprozesse, dazu Kontrollen, Kommunikationsmaßnahmen und eine prüfungssichere Dokumentation. Zudem ist es essentiell, ein vollständiges Verzeichnis der Verarbeitungstätigkeiten aufzubauen. Dieses wird die Basis der Dokumentation des Management-Systems.

Welche weiteren Änderungen kommen auf Unternehmen zu?

Die Betroffenenrechte werden massiv gestärkt. Damit gehen erhöhte Dokumentations- und Transparenzpflichten einher. Zudem ist jede der im Verarbeitungsverzeichnis erfassten Verarbeitungen einer Risikoanalyse und eventuell auch einer sogenannten Datenschutz-Folgenabschätzung zu unterziehen. Diese kann im Zweifel eine verpflichtende Konsultation der Aufsichtsbehörde nach sich ziehen.

Außerdem müssen Unternehmen einen Prozess einrichten, der es ihnen ermöglicht, Verstöße gegen den Datenschutz binnen 72 Stunden an die Aufsichtsbehörden zu melden. Auch Dienstleisterbeziehungen sind von der DSGVO betroffen. Lagert ein Unternehmen Teile seiner Datenverarbeitung aus, hat es sicherzustellen, dass der hierfür eingesetzte Dienstleister ebenso die Vorgaben der DSGVO beachtet. Der Schutz der Betroffenenrechte ist also zu jedem Zeitpunkt der Datenverarbeitung zu gewährleisten – und das unabhängig davon, wer konkret die Daten verarbeitet. Der Dienstleister wiederum ist seinerseits dazu verpflichtet, das auftraggebende Unternehmen bei der Wahrung der Betroffenenrechte zu unterstützen.

Vor dem Hintergrund all dieser Neuerungen ist allen Unternehmen, die sich noch nicht mit der DSGVO auseinander gesetzt haben, zu raten, spätestens jetzt damit zu starten. Denn die Zeit wird immer knapper und auch die Initialisierung eines auf die Umsetzung der DSGVO abzielenden Projekts ist ein erster wichtiger Schritt in Richtung Erfüllung der Rechenschaftspflicht.

Frau Scheben, wir danken für dieses Gespräch.

 

Mehr zur Datenschutz-Grundverordnung (DSGVO) und Compliance erfahren Sie in der Erstausgabe unseres neuen Magazins „CGO“ Zum Download geht es hier.

Studie herunterladen
05. Oktober 2017

Kommentare

Wie bereitet sich Ihr Unternehmen auf die DSGVO vor?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen