Start der EU-Datenschutz-Grundverordnung

Start der EU-Datenschutz-Grundverordnung

KPMG zum neuen Gesetz

Nach einem Umsetzungszeitraum von zwei Jahren ist es nun so weit: Seit dem 25. Mai 2018 ersetzt die EU-Datenschutz-Grundverordnung (DSGVO) bisherige Datenschutzrecht und bringt ein völlig überarbeitetes Datenschutzregime mit sich. Um die Anforderungen der DSGVO zu erfüllen, ist die Anpassung oder Neueinrichtung von Prozessen, Maßnahmen, Tools und Templates erforderlich. Die Implementierung eines Datenschutz-Management-Systems ist die Basis der DSGVO-Compliance.

Die DSGVO gilt für alle Unternehmen aller Branchen mit Sitz in der Europäischen Union, die personenbezogene Daten verarbeiten. Dies können Daten von Kunden, Mitarbeitern, Dienstleistern oder sonstigen Personen sein. Außerdem ist die DSGVO anwendbar für Unternehmen außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten in der EU beobachten.

Erstmalig postuliert die DSGVO die Rechenschaftspflicht des Verantwortlichen, also des Unternehmens, vertreten durch die Geschäftsleitung. Dieser muss die Einhaltung der Anforderungen der DSGVO sicherstellen und dies nachweisen können. Dieses Nachweiserfordernis hat weitreichende Auswirkungen in der Praxis und kann im Streitfall eine Art Beweislastumkehr zur Folge haben. Dokumentation, Transparenz und Risikoanalyse stehen im Vordergrund des Datenschutzmanagements.

Das gemäß Art. 30 DSGVO einzurichtende Verzeichnis der Verarbeitungstätigkeiten fungiert als zentrales Steuerungs- und Dokumentationselement der DSGVO. Dies erfordert die Inventarisierung aller Geschäftsprozesses, innerhalb derer personenbezogene Daten verarbeitet werden, und erfordert einen nicht zu unterschätzenden Aufwand. Diese Verarbeitungen sind sodann einer Analyse ihrer Risiken für die Rechte und Freiheiten der Betroffenen zu unterziehen. Bringen sie ein voraussichtlich hohes Risiko mit sich, beispielsweise im Falle der Videoüberwachung oder bei der Speicherung von Gesundheitsdaten, wird eine sog. Datenschutz-Folgenabschätzung erforderlich.

Zielsetzung ist es, dem Betroffenenrisiko angemessene technische und organisatorische Maßnahmen zu implementieren. Bei diesen Maßnahmen sind vor allem „Datenschutz durch Technikgestaltung“ und datenschutzfreundliche Voreinstellungen zu bedenken. Zudem sind Löschkonzepte zu erarbeiten und einzurichten, die eine rückstandslose Löschung der Daten nach Ablauf des Zwecks für die initiale Speicherung und ggf. zu beachtender Aufbewahrungspflichten sicherstellen.

Die DSGVO bringt eine Vielzahl an Betroffenenrechten mit sich, die der Verantwortliche grundsätzlich binnen Monatsfrist zu erfüllen hat. Dies sind z. B. das Recht auf Auskunft, das Recht das Recht auf Datenportabilität, das Recht auf Einschränkung der Verarbeitung oder auch das Recht auf Löschung. Im Zusammenspiel mit klar festgelegten Rollen, Verantwortlichkeiten und Prozessen sollte es dem Verantwortlichen möglich sein, mit diesen Betroffenenanfragen form- und fristgerecht umzugehen.

Zu denken ist in diesem Zusammenhang auch an die digitale Kommunikation mit dem Kunden. Webseiten sind mit DSGVO-konformen Datenschutzhinweisen zu versehen. Wer Newsletter versendet, muss über eine Einwilligung verfügen. Entsprechendes gilt für Social Media Angebote und Apps.

Da regelmäßig Dritte in die Datenverarbeitung einbezogen sind, ist dem Dienstleistermanagement unter der DSGVO besondere Aufmerksamkeit zu schenken. Zunächst ist zu identifizieren, in welcher Konstellation eine Auftragsverarbeitung oder ein sog. Joint Controllership vorliegt und sodann die der DSGVO entsprechenden vertraglichen Regelungen vorzusehen. Die Dienstleister sind zudem ihrerseits auf die Einhaltung der Vorgaben der DSGVO zu auditieren. Entsprechendes gilt für Dienstleister und Dritte, an die personenbezogene Daten übermittelt werden, mit Sitz außerhalb der EU, z. B. Shared Service Center, IT Administratoren oder auch die außerhalb der EU ansässige Tochtergesellschaft. Hier sind die entsprechenden europäischen Vorgaben zur Drittstaatenübermittlung zu beachten.

Im Falle einer Datenschutzverletzung müssen Unternehmen umgehend in der Lage sein, die erforderlichen Maßnahmen einzuleiten. Ein Datenschutzverstoß, der zu einem Risiko für die Rechte und Freiheiten der Betroffenen führen kann, ist gemäß Artikel 33 DSGVO binnen 72 Stunden der Aufsichtsbehörde zu melden. Hat die Datenschutzverletzung sogar ein hohes Risiko für den Betroffenen zur Folge, so ist auch dieser zu benachrichtigen.

Neben der Erfüllung der „harten“ Anforderungen der DSGVO sind Maßnahmen zur Schulung und Sensibilisierung der Mitarbeiter nicht zu vernachlässigen. Schließlich findet der Datenschutz vor allem auch auf dieser operativen Ebene Anwendung und muss gerade dort umgesetzt werden.

Sollte es zu Verstößen gegen die DSGVO kommen, können die Aufsichtsbehörden auf massiv verschärfte Sanktionsmöglichkeiten zurückgreifen. Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes vor. Zudem hat der Betroffene einen Anspruch auf Ersatz seiner materiellen und immateriellen Schäden. Für Unternehmen, die die Anforderungen der DSGVO noch nicht oder noch nicht vollständig umgesetzt haben, besteht daher akuter Handlungsbedarf.

Barbara Scheben

Rechtsanwältin, Partner

KPMG AG Wirtschaftsprüfungsgesellschaft

 

 


 
Partner
Logo Deutsche BankLogo KPMGLogo FBNLogo EFB