Kompetenzen & Konzepte zur EU-Datenschutz-Grundverordnung (EU-DSGVO)

Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO oder DS-GVO) verpflichtend für alle Unternehmen in Europa. Jetzt ist die Zeit gekommen, sich auf die umfangreichen Neuregelungen der DS-GVO vorzubereiten. Auch wir sind in Vorbereitung: zusammen mit hochkarätigen Netzwerkpartnern erarbeiten wir Audit- und Zertifizierungskonzepte zur DS-GVO.

Die EU-Datenschutz-Grundverordnung: das kommt auf Sie zu

Am 15. Dezember 2015 einigten sich die Verhandlungsführer aus den verschiedenen Mitgliedsstaaten der EU, aus der EU-Kommission und aus dem EU-Parlament auf die EU-Datenschutz-Grundverordnung. Die EU-DSGVO wird die Datenschutzrichtlinie aus dem Jahre 1995 ablösen – und das wird wirklich Zeit, denn in den letzten 21 Jahren hat sich viel getan!

Der wesentliche Unterschied zu jetzigen Datenschutzrichtlinien besteht darin, dass die EU-DSGVO unmittelbar in der gesamten Europäischen Union gilt. Das bedeutet: ab dem 25.05.2018 sind sämtliche Neuerungen für alle Unternehmen in Europa verpflichtend!

Die teuersten Änderungen

Sanktionen bei Datenschutzverstößen werden derzeit eher zurückhaltend durchgesetzt. Das wird sich jedoch ändern, denn der Gesetzgeber hat das Ziel, Unternehmen, die den Datenschutz wissentlich oder unwissentlich vernachlässigen, empfindlich zu treffen.

Betroffene haben die Möglichkeit, bei Behörden und/ oder zuständigen Gerichten Beschwerde zu Datenschutzverstößen einzureichen. Agiert die jeweilige Behörde nicht binnen drei Monaten, kann die „Untätigkeit“, wie der Gesetzgeber es nennt, gerichtlich geprüft werden. Betroffene können immaterielle Schadenersatzansprüche geltend machen, deren Höhe im Ermessen des Gerichts liegt!

Das bedeutet für Sie: Da die Verbraucherseite immens gestärkt wird, können Sie Sanktionen nicht ausweichen. Jeder Datenschutz-Fehler kann so teuer werden, dass Ihre Existenz daran hängt.

Sanktionen in Zahlen

Blicken wir auf die aktuelle Lage, wird deutlich, dass Sanktionen in voller Höhe selten bis gar nicht durchgesetzt wurden. Materiell-rechtliche Datenschutzverstöße etwa werden aktuell gemäß § 43 Abs. 2 BDSG mit bis zu 300.000 € sanktioniert – tatsächliche Bußgelder in dieser Höhe hat es nicht gegeben.

Die DS-GVO jedoch sieht vor, Sanktionen für jeden Einzelfall zu prüfen. Art. 83 Abs. 1 EU-DSGVO erklärt, dass Geldbußen „wirksam, verhältnismäßig und abschreckend“ verhängt werden. Und das werden sie: Je nach Datenschutzverstoß können Sanktionen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, was teurer ist!

Die positivsten Änderungen

Nicht nur die Verbraucherrechte werden gestärkt, sondern auch – und das ist die sehr gute Nachricht – die Möglichkeiten für Unternehmen, Werbung zu machen. Denn die Zulässigkeit von Werbung richtet sich mit der DS-GVO nach einer allgemeinen Interessenabwägung aus.

Hier ist der Erwägungsgrund 47 der DS-GVO ausschlaggebend: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Der für die Verarbeitung Verantwortliche muss also ein berechtigtes Interesse an der Datenverarbeitung haben. Ein solches „berechtigtes Interesse“ liegt vor, wenn Sie Produkte, Waren oder Dienstleistungen bekannter machen und/ oder verkaufen möchten.

Schutzwürdiges Interesse des Einzelnen

Die Möglichkeiten, zu werben, dürften also vielfältiger werden. Allerdings kann ein Verbraucher gemäß Art. 21 DS-GVO von seinem Widerspruchsrecht Gebrauch machen. Nimmt ein Verbraucher dies in Anspruch, so überwiegt das „schutzwürdige Interesse“ des Einzelnen.

Dieses „schutzwürdige Interesse“ sorgt dafür, dass Werbemaßnahmen in jedweder Form unzulässig sind. Hier spannt sich der Bogen zur nächsten großen Änderung: aufwendige Dokumentationspflichten, zu denen wir gleich noch kommen.

Es sei noch erwähnt, dass Zuwiderhandlungen, die mit falscher Dokumentation einhergehen können, richtig teuer werden: bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Die höhere Zahl gewinnt, denn der Gesetzgeber möchte empfindlich treffen.

Die aufwendigsten Änderungen

Ihr Dokumentationsaufwand wird ab Mai 2018 immens steigen, wir haben es gerade schon angesprochen. Der Gesetzgeber hat diesem Aufwand den Namen „Accountability“ spendiert: die Rechenschaftspflicht. Sie haben künftig über alles Rechenschaft abzulegen. Art. 5 Abs. 2 DS-GVO schreibt vor:

„Der für die Verarbeitung Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten] verantwortlich und muss dessen Einhaltung nachweisen können.“

Für Ihre Praxis bedeutet das, dass Sie künftig nach dem „Belege deine Unschuld“-Prinzip agieren müssen. Sie sind grundsätzlich in der „Bringschuld“: belegen Sie Ihre Schutzmaßnahmen nicht transparent, sind existenzbedrohende Bußgelder die Folge.

Als für die Verarbeitung Verantwortlicher – als Unternehmensinhaber haben Sie letztlich immer die Verantwortung – müssen Sie nachweisen, dass Sie die Prinzipien der Datenverarbeitung einhalten, die da wären:

• Rechtmäßigkeit, Verarbeitung nach Treu & Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität & Vertraulichkeit

Ein Beispiel für alle erwähnten Änderungen

Um einen besseren Praxisbezug zu schaffen, spulen wir die Zeit um gut 1,5 Jahre vor. Wir haben Ende Mai 2018, die DS-GVO gilt für sämtliche europäischen Unternehmen verbindlich. Sie planen eine Werbemaßnahme: ein Mailing soll kommende Woche per Post Ihr Haus verlassen und möglichst viele Kunden gewinnbringend ansprechen.

Nun ist es Ihre Pflicht, jeden Werbeempfänger noch mal zu prüfen: liegt bei einem Empfänger ein Widerspruch vor, gilt dieser Widerspruch für sämtliche Werbekanäle! Sie dürfen also einem Empfänger, der auf einen Newsletter mit Widerspruch reagiert hat, auch postalisch keine Werbung zukommen lassen.

Alle verantwortlichen Stellen und sämtliche Auftragsdatenverarbeiter müssen jeden einzelnen Verarbeitungsvorgang in der Verarbeitungsübersicht dokumentiert haben. Sie sollten also in der Lage sein, genau nachzuvollziehen, wann wer den Widerspruch des Kunden aus welchem Grund und nach welcher Aktion entgegengenommen hat. Auch für künftige Werbeaktionen muss dokumentiert sein, bei wem seit wann ein Widerspruch vorliegt.

Wenn Sie hier auch nur einen Dokumentationsfehler machen, nur einen Punkt übersehen haben, wird es wirklich teuer! Bei beabsichtigter oder unabsichtlicher Zuwiderhandlung zahlen Sie bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt. Das kann Ihre Existenz nicht nur bedrohen, sondern sogar vernichten.

DS-GVO macht Analysen unabdingbar

Wir könnten den Faden noch weiterspinnen: möchten Sie Daten verarbeiten, braucht es eine Einwilligungserklärung, die freiwillig, spezifisch und eindeutig abgegeben wurde. Konkrete Zweckangaben zur Datenverarbeitung sind Pflicht. Das spätere Nutzen dieser Daten für andere Zwecke ist ebenfalls strikter reguliert: Sie müssen belegen können, dass ein weiterer Verwendungszweck mit dem ursprünglichen kompatibel ist.

Sie sehen: es wird richtig kompliziert! Aufgrund dieser Komplexität und nicht zuletzt aufgrund der Tatsache, dass jedes Unternehmen in Europa ganz individuell ist, ist eine Informationssicherheitsanalyse fast schon Pflicht. Wo stehen Sie aktuell und was müssen Sie noch tun, um zum Start der DS-GVO-Ära rechtssicher zu agieren?

Die ISA+ Informations-Sicherheits-Analyse

Als Netzwerkpartner des Bayerischen IT-Sicherheitscluster e. V. sind wir in der komfortablen Lage, Ihnen die ISA+ Informations-Sicherheits-Analyse anbieten zu können. ISA+ Informations-Sicherheits-Analyse wurde entwickelt und standardisiert, um Bedarfe bezüglich der Informationssicherheit in Unternehmen feststellen zu können.

Als akkreditierter ISA+ Informations-Sicherheits-Analyse – Berater können wir Stärken und Schwächen in Ihrer IT-Infrastruktur gezielt identifizieren. Unsere Handlungsempfehlungen zeigen Ihnen auf, wie Sie Ihre Informationssicherheit steigern können. ISA+ Informations-Sicherheits-Analyse tangiert den Datenschutz und inkludiert zahlreiche datenschutzrelevante Punkte, die aufzeigen, inwieweit Sie bereits fit für die DS-GVO-Ära sind.

Unsere Netzwerkpartner und wir: Konzepte zur DS-GVO

Unser Ziel ist es, Ihnen Möglichkeiten an die Hand zu geben, Ihren Workflow an die anstehende EU-Datenschutz-Grundverordnung auszurichten und Sie rechtssicher agieren zu lassen. Die Komplexität der EU-DSGVO verlangt nach Experten, die die Gesetze, aber auch Risiken und Chancen von Daten und Datenschutz kennen.

So sind wir u. a. Netzwerkpartner des Bayerischen IT-Sicherheitsclusters e. V. Der Verein besteht aus Firmen der IT-Wirtschaft, Hochschulen, Forschungs- sowie Weiterbildungseinrichtungen, Juristen und Unternehmen, die Sicherheitstechnologien verwenden. Diese Mitglieder arbeiten zusammen an gemeinsamen Zielen in den Schwerpunktthemen IT-Sicherheit und Functional Safety.

Das organisieren wir für Sie und mit Ihnen

Vertreter der PSW GROUP treffen sich beispielsweise mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), um Audit- und Zertifizierungskonzepte zur EU-DSGVO zu erarbeiten. Diese Konzepte gestalten wir aktiv mit, was uns unsere Erfahrung erlaubt. Schon seit über 15 Jahren beraten und begleiten wir Unternehmen aller Größen und Branchen in Sachen Datenschutz und IT-Security.

Weiter organisieren wir Vorträge, um Kompetenzen zu ballen und Ihnen Informationen zu liefern. So fand am 13.10.2016 unser zweiter Thementag zur DS-GVO statt; wir berichteten auf Facebook. Zusammen mit der Kanzlei Muth & Partner ist es gelungen, technologische und rechtliche Aspekte der Datenschutz-Grundverordnung zu beleuchten und Unternehmern damit echte Hilfestellungen zu geben.

Das bleibt auch in Zukunft unser Anliegen: zusammen mit unseren hochkarätigen Partnern beraten und schulen wir Unternehmen. Auch die praktische Begleitung auf den Weg in die EU-DSGVO-Rechtssicherheit übernehmen unsere zertifizierten Experten. Informationen dazu, wie Sie zusammen mit uns immer eine Nasenlänge voraus sind, finden Sie in unserem Consulting-Bereich.