"Schon wieder eine neue Regulierung", dürften sich viele Unternehmen denken. Doch es gibt gute Gründe für die neue EU-Datenschutz-Grundverordnung (EU-DSGVO); sie selbst listet mehr als 170 Erwägungsgründe auf. Dazu zählen der Schutz von EU-Bürgern bei der Verarbeitung personenbezogener Daten unabhängig von Staatsangehörigkeit oder Aufenthaltsort sowie die Harmonisierung der Vorschriften.
Tatsächlich gab es bisher einen Flickenteppich unterschiedlicher Datenschutzgesetze in den verschiedenen EU-Mitgliedstaaten. Dieser führte zu einem regelrechten Negativ-Wettbewerb, sodass sich Unternehmen in Ländern mit vergleichsweise schwachen Datenschutzregelungen niederlassen und trotzdem von den Vorteilen des uneingeschränkten EU-Handels profitieren konnten.
Die EU-DSGVO wird das europäische Datenschutzrecht nun vereinheitlichen, auch wenn es in vielen Bereichen, bedingt durch zahlreiche Öffnungsklauseln, weiterhin unterschiedliche nationale Regelungen geben wird. Daher wird gleichzeitig also auch ein neues Bundesdatenschutzgesetz (BDSG) erforderlich, das diese zahlreichen Öffnungsklauseln umsetzt. Zudem sollen die Befugnisse der Datenschutz-Behörden vor allem gegenüber international tätigen Konzernen gestärkt werden. Dies zeigen zum Beispiel die vergleichsweise hohen Bußgelder, die mit dem Strafmaß von Kartell- und Wettbewerbsverstößen vergleichbar sind. Eine mögliche Verhängung von 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes stellt selbst für große, US-basierte Internet-Unternehmen ein erhebliches Risiko dar.
Alle Unternehmen betroffen
Doch nicht nur Facebook, Google, Microsoft, Amazon und Co. sind von den neuen Regelungen betroffen. Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten, müssen sich daran halten. Die EU-DSGVO beschreibt dabei ein vollständig neues Datenschutzrecht, das aber durchaus viel Ähnlichkeit mit bisherigen Regelungen aufweist. Trotz dieser Ähnlichkeiten müssen Unternehmen ihre Compliance-Maßnahmen jedoch komplett neu aufbauen.
Insbesondere ist dabei zu beachten, dass die Rechtspositionen Betroffener deutlich ausgebaut werden. Die EU-Bürger erhalten zum Beispiel "ein Recht auf Vergessen", also das Löschen von veralteten Daten beziehungsweise ihrer Ansicht nach zu Unrecht erhobenen oder falschen Informationen. Zudem ist auf Anfrage die vollständige Transparenz zu gewährleisten. Dies bedeutet, dass die Kette der Verarbeitung der Daten aufgezeigt werden muss, also bei wem sich welche personenbezogenen Daten befinden, wie diese genutzt wurden und auch weitergegeben werden.
Damit muss das Unternehmen nicht nur den eigenen Umgang mit diesen Daten prüfen, sondern auch von allen Dienstleistern und Partnern, die solche Informationen bearbeiten oder speichern. Dies gilt unabhängig davon, wo sich diese befinden, da nicht der Ort entscheidend ist, sondern die Tatsache, dass es sich um Daten von EU-Bürgern handelt (das sogenannte Marktortprinzip). Auch die Datenportabilität muss gewährleistet sein, also die Übertragung der personenbezogenen Informationen von einem zu einem anderen Anbieter. Diese Vorgaben führen zu einem veränderten Haftungsgefüge zwischen Unternehmen und Dienstleistern.
Durch den insgesamt höheren Compliance- und IT-Risikoansatz wird auch ein stärkeres Risikomanagement mit Datenschutzfolgenabschätzung nötig. Welche Datenschutzrisiken betreffen mein Unternehmen und neu auch den Betroffenen, wie sind diese Risiken zu bewerten und welche Maßnahmen müssen umgesetzt werden? Denn mussten die technischen und organisatorischen Maßnahmen bisher in angemessener Weise erfolgen, so ist nun der "Stand der Technik" die gesetzliche Maßgabe.
Herausforderungen und Chancen
Dies führt zu einigen großen konkreten Herausforderungen. So sind die bisherigen Verträge für die Auftragsdatenverarbeitung (ADV) mit den Dienstleistern an die neuen Regelungen anzupassen beziehungsweise neu zu schließen. Dies gilt nicht nur für den Umgang mit personenbezogenen Daten, sondern auch für den erweiterten Anwendungsbereich des Datenschutzrechts außerhalb der EU, soweit Dienstleistungen in Zusammenhang mit personenbezogenen Daten von EU-Bürgern erbracht werden. Auch die bisherigen Verfahrensbeschreibungen sind zu überarbeiten, da die Dokumentationspflichten erweitert und die Betroffenenrechte ausgedehnt wurden.
Gerade hier führt die EU-DSGVO nicht nur zu höheren Anforderungen, sondern auch zu Erleichterungen. Zum Beispiel reicht nun ein einfaches Popup-Fenster zur Abfrage beim Nutzer, ob er dem Einsatz von Cookies zustimmt, anstelle des bislang vorgeschriebenen Sammelns von Daten nach dem Listenprivileg. Unternehmen können nun durch teils vereinfachte Datenschutzvorgaben auch die Effizienz ihrer Marketingmaßnahmen erhöhen. Im Bereich Kundenmanagement (CRM) lassen sich neue, schlankere Prozesse einführen. So lohnt es sich, die Regelung genau zu prüfen, nicht nur zur Vermeidung von Compliance-Problemen, sondern auch für eine höhere Wettbewerbsfähigkeit.
Während viele große Unternehmen dies mit Hilfe eigener Abteilungen oder externen juristischen und technischen Beratern in der Regel bereits durchführen, stellt der Vorgang für kleine und mittelständische Firmen eine gewisse Herausforderung dar. Vor allem angesichts der bevorstehenden Sommerpause und dem Weihnachtsurlaub bleibt bis Mai 2018 nicht mehr allzu viel Zeit, sodass sie bereits jetzt damit beginnen sollten. Dazu ist ein eigenes Datenschutzprojekt nötig, bei dem es sich lohnt, externe Berater mit entsprechenden Erfahrungen einzubinden.