Implementierung der EU-Datenschutz-Grundverordnung

Die im Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (DSGVO) wird viele Unternehmen vor enorme Herausforderungen stellen.

Die DSGVO führt zu deutlich erhöhten Compliance-Anforderungen sowie einer erheblichen Erhöhung der Geldbußen auf bis zu 20 Mio. EUR bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe. So können selbst Compliance-Verstöße kleinerer und weniger wichtiger Niederlassungen eines Konzerns schwerwiegende Konsequenzen haben. Da die Vorbereitung auf die DSGVO eine Restrukturierung interner Prozesse erfordert, ist es höchst empfehlenswert, mit dieser zeitnah zu beginnen.

Wir empfehlen die folgenden Schritte zur Implementierung der DSGVO:

  • Schritt 1: „Gap Analysis“
    Zur Feststellung des datenschutzrechtlichen Handlungsbedarfs eines Unternehmens sollte zuerst eine „Lückenanalyse“ durchgeführt werden, bei der die gegenwärtige Datenschutz-Compliance mit den Anforderungen der DSGVO verglichen wird. Hierbei sollte auch eine mögliche Non-Compliance im Hinblick auf die bereits bestehenden Vorgaben der europäischen Datenschutzrichtlinie 95/46/EG identifiziert werden.

    • 1. In einem ersten Schritt sind die aktuellen datenschutzrechtlichen Praktiken des Unternehmens zu sammeln (z. B. (i) welche Abteilungen welche Arten von Daten für welchen Zweck verarbeiten, (ii) wie die internen Verantwortlichkeiten verteilt sind, (iii) wie die Rechte betroffener Personen geschützt werden, (iv) ob Datenschutz­beauftragte eingesetzt werden, (v) welche IT-Sicherheitsmaßnahmen vorhanden sind; gemeinsam die „existierende Datenschutz-Struktur“).
      2. In einem zweiten Schritt müssen diejenigen Anforderungen der DSGVO bestimmt werden, die speziell für das vorliegende Unternehmen gelten („unternehmensspezifische DSGVO-Anforderungen“).
      3. Im letzten Schritt werden die unternehmensspezifischen DSGVO-Anforderungen mit der bestehenden Datenschutz-Struktur verglichen. Die „Lücke“ zwischen beiden zeigt den Handlungsbedarf des Unternehmens auf.
  • Schritt 2: Risikoanalyse
    Die vielfältigen Anforderungen der DSGVO können nicht zeitgleich vollständig erfüllt werden. Das Unternehmen muss daher abschätzen, welche Datenverarbeitungstätigkeiten das größte Risiko für (i) den Geschäftsbetrieb des Unternehmens und/oder (ii) die Rechte der betroffenen Personen darstellen sowie (iii) welche Risiken am wahrscheinlichsten zu hohen Geldbußen führen. Im Anschluss an diese Einschätzung sind die Ressourcen entsprechend zu verteilen. Der Datenschutz-Compliance für risikoreiche Verarbeitungstätigkeiten sollte dabei größere Aufmerksamkeit geschenkt werden als der in weniger riskanten Bereichen.
  • Schritt 3: Projektsteuerung und Ressourcen-/Budgetplanung
    Die Umsetzung der DSGVO erfordert zum einen die Zusammenarbeit der europäischen Niederlassungen des Unternehmens, zum anderen die Kenntnis der noch ausstehenden Aufgaben auf Management-Ebene. Das Unternehmen sollte Verantwortlichkeiten für das Projekt an Schlüsselpersonen in den Niederlassungen übertragen und einen leitenden Projektmanager ernennen. Dieser kann auch ein externer Berater sein. Das Unternehmen muss die notwendigen Ressourcen zur Verfügung stellen. Die Budgetplanung sollte insbesondere (i) interne Ressourcen, wie für die Umsetzung benötigtes internes Personal, (ii) rechtliche Kosten sowie (iii) IT-Kosten (z. B. für unterstützende Software; IT-Überprüfungen etc.) berücksichtigen.
  • Schritt 4: Umsetzung einer Datenschutz-Struktur
    Die DSGVO enthält eine Reihe zusätzlicher Anforderungen im Verhältnis zum bisher geltenden Recht:

    • Stärkere Rechte der betroffenen Personen (z. B. auf Information, Auskunft und Berichtigung / Löschung; das Recht auf Datenübertragbarkeit; das Recht auf Widerspruch gegen bestimmte Datenverarbeitungstätigkeiten; das „Recht auf Vergessenwerden“ – die Verpflichtung, Auskunfts- oder Löschanträge an dritte Datenempfänger weiterzuleiten; strengere Anforderungen an Einwilligungserklärungen etc.),
    • strengere organisatorische Anforderungen (z. B. die Verpflichtung, ein die internen Datenverarbeitungstätigkeiten zusammenfassendes Verzeichnis von Datenverarbeitungstätigkeiten zu erstellen; die Notwendigkeit, in verschiedenen Fällen eine Datenschutz-Folgeabschätzung durchzuführen und einen Datenschutzbeauftragten zu ernennen; Datenschutz durch Technik („privacy by design“) und Datenschutz durch datenschutzrechtliche Voreinstellungen („privacy by default“); die Verpflichtung zur Verknüpfung personenbezogener Daten mit dem Zweck ihrer Erhebung und der Ermächtigungsgrundlage für ihre Verarbeitung; die Dokumentation von Datenübermittlungen; möglicherweise ein Entwurf für Löschungskonzepte etc.),
    • strengere Meldepflichten (z.B. die Verpflichtung, im Falle einer Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden die Datenschutzbehörden sowie ggf. die betroffenen Personen zu informieren),
    • höhere IT/Cyber-Sicherheitsanforderungen,
    • strengere vertragliche Anforderungen. (Mit externen Service-Providern und unter Umständen auch innerhalb der Unternehmensgruppe müssen strengere Datenverarbeitungsverträge geschlossen werden).
    • 4.1 Datenschutz-Management-System
      Die DSGVO sieht eine Reihe von Anforderungen vor, die ohne ein umfassendes Datenschutz-Management-System schwierig zu bewältigen sind. Ein solches System sollte konzernweit eingeführt werden, da datenschutzrechtliche Verstöße selbst kleiner Niederlassungen zu hohen Geldbußen für die gesamte Unternehmensgruppe führen können.
      (a) Festlegung von Rollen und Verantwortlichkeiten
      Das Unternehmen sollte Datenschutzstrukturen in allen EU-Niederlassungen schaffen und einen verantwortlichen Leiter in der Muttergesellschaft bestimmen. Die entsprechende Struktur sollte (i) eine einfache Erteilung datenschutzbezogener Anweisungen und/oder Empfehlungen an die beteiligten Stellen ermöglichen („Top-down-Ansatz“) sowie (ii) die Mitteilung datenschutzbezogener Angelegenheiten an den Leiter gewährleisten („Bottom-up-Kommunikation“).
      (b) Verfahren und Konzepte
      Viele der Verpflichtungen aus der DSGVO können in der Praxis nur implementiert werden, wenn entsprechende Konzepte, Richtlinien und Standardvorgehensweisen (kumulativ sog. „Standard Operating Procedures“ (SOP)) eingeführt werden. Dies betrifft insbesondere die Rechte betroffener Personen, die Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten, die Datenschutz-Folgeabschätzungen etc.
      (c) Training
      Mitarbeiter sollten in Bezug auf ihre sich aus der DSGVO ergebenden Verpflichtungen und Verantwortlichkeiten geschult werden.
      (d) Dokumentation
      Das Unternehmen muss angemessene Maßnahmen ergreifen, um die Einhaltung der Anforderungen der DSGVO nachzuweisen. Diese Maßnahmen sollten regelmäßig überprüft und aktualisiert werden.
    • 4.2 Datenverarbeitungsverträge
      Aufgrund der hohen Anzahl von Vereinbarungen, die konzernintern sowie mit Dritten geschlossen werden müssen, ist eine durchdachte Strategie für das Management von Datenverarbeitungsverträgen erforderlich.
      Der Einsatz von Auftragsverarbeitern (Stellen, die personenbezogene Daten im Auftrag des Unternehmens entsprechend dessen Anweisungen verarbeiten) erfordert zwingend den Abschluss von Datenverarbeitungsverträgen. Bestehende Verträge müssen überprüft werden, um festzustellen, ob sie den Voraussetzungen der DSGVO entsprechen oder ob Änderungsbedarf besteht; neue Vereinbarungen müssen den hohen Standards der DSGVO genügen.
      In einigen Fällen können verschiedene Unternehmensteile als gemeinsam für die Verarbeitung Verantwortliche qualifiziert werden, wenn sie zusammen den Zweck und die Mittel der Datenverarbeitung festlegen. Grundsätzlich müssen auch in diesen Fällen zwischen den involvierten Stellen Datenverarbeitungsverträge geschlossen werden.
      Werden personenbezogene Daten aus Europa an ein Land außerhalb der Europäischen Union übermittelt, müssen hierfür regelmäßig ebenso Datenverarbeitungsverträge geschlossen werden.
  • Schritt 5: Zusätzliche landesspezifische Voraussetzungen
    Das Unternehmen sollte des Weiteren prüfen, ob neben den EU-weit einheitlichen Voraussetzungen der DSGVO darüber hinausgehende nationale Vorschriften existieren.
    Die Mitgliedsstaaten der EU verfügen über einen weiten Ermessensspielraum für den Erlass zusätzlicher nationaler Vorschriften, welche die DSGVO ergänzen und/oder präzisieren.
    In allen EU-Ländern kann es zusätzliche arbeitsrechtliche Vorschriften für die Verarbeitung von Daten im Personalbereich geben (etwa die Einbeziehung eines Betriebsrates in Deutschland und Frankreich oder behördlicher Stellen in Italien).

Der Umgang mit dem Brexit

Viele internationale Unternehmensgruppen haben Niederlassungen im Vereinigten Königreich („UK“), das künftig kein Teil der Europäischen Union mehr sein wird. Die Anforderungen der DSGVO fänden dann keine unmittelbare Anwendung auf dortige Niederlassungen, wodurch Datenübermittlungen aus anderen europäischen Unternehmensteilen zu rechtlichen Problemen führen könnten. Das Unternehmen wird sich daher überlegen müssen, wie es aus datenschutzrechtlicher Perspektive mit dem Brexit umgehen will.
Die Chancen stehen gut, dass das UK datenschutzrechtliche Bestimmungen ähnlich derer der Europäischen Union erlassen wird, sodass die Auswirkungen eines Brexits in diesem Bereich beschränkt wären. Unabhängig davon ist es selbst für den Fall eines Brexits empfehlenswert, die strengen Voraussetzungen der DSGVO auch in UK vollumfänglich einzuhalten, um den internen Bürokratieaufwand einzugrenzen und eine europaweit einheitliche Datenschutz-Struktur zu ermöglichen.

von Dr. Axel Freiherr von dem Bussche