Was ist das eigentlich und was bedeutet die Einführung für Unternehmen?
Die EU Datenschutzgrundverordnung (EU-DSGVO) ist in aller Munde. Zu Recht sorgt sie für Handlungsdruck bei den Unternehmen. Sie tritt zum 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft und betrifft alle Unternehmen, die innerhalb der EU personenbezogene Daten verarbeiten. Wer denkt, das alles würde schon nicht so kommen, wie alle sagen, liegt falsch.
Die EU-DSGVO betrifft alle Unternehmen. Es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken. Das heißt: Die EU-DSGVO gilt grundsätzlich für Amazon genauso wie für den Einzelhändler, für den DAX-Konzern genauso wie für den Handwerker mit drei Angestellten.
EU-DSGVO: Ab sofort drohen Bußgelder von bis zu 20 Millionen Euro
Eine der augenfälligsten Änderungen des neuen Rechts gegenüber der geltenden Rechtslage in Deutschland sind die potenziell horrenden Bußgelder. Während bisher für schwerwiegende Datenschutzverstöße ein Bußgeld von maximal 300.000 Euro verhängt werden konnte, drohen nun 20 Millionen Euro. Bei Großunternehmern kann das Bußgeld sogar bis zu 4 % vom weltweiten Jahresumsatz (!) betragen.
Wenn auch die Wahrscheinlichkeit, von Bußgeldern betroffen zu sein, für kleinere Unternehmen mit Wirksamwerden der EU Datenschutzgrundverordnung nicht unbedingt steigt, das Risikopotenzial ist insgesamt ungleich höher. Die Behörden haben bereits angekündigt, den Bußgeldrahmen ausschöpfen zu wollen. Es ist daher essentiell, dass sich auch kleine und mittlere Unternehmen mit den Auswirkungen des neuen Datenschutzrechts befassen.
Personenbezogene Daten und Verbotsprinzip
Datenschutzrecht gilt heute wie morgen ausschließlich für personenbezogene Daten. Geschützt wird die Privatsphäre des Einzelnen. Dies setzt voraus, dass es einen Bezug zu einer natürlichen Person gibt. Unternehmensdaten sind nicht geschützt. Daraus darf aber nicht der falsche Schluss gezogen werden, dass B2B-Unternehmen nicht betroffen sind. Auch im rein geschäftlichen Bereich werden Daten von Ansprechpartnern gespeichert und verarbeitet. Selbst wenn der Kundenverkehr vollständig anonym ablaufen würde, bleibt die Speicherung von Mitarbeiter- und Lieferantendaten. Es gibt kein Unternehmen, das die EU-DSGVO nichts angeht.
Oberster Grundsatz des alten wie neuen Datenschutzrechts ist das Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist verboten. Es sei denn, es findet sich eine Rechtfertigung.
Diese kann sich aus einem Vertrag mit der betroffenen Person ergeben. Der Betreiber eines Online-Shops darf zum Beispiel die Adressdaten des Kunden an einen Logistikdienstleister weitergeben, damit die Ware ausgeliefert werden kann. Diese Rechtfertigung reicht aber stets nur soweit, wie dies zur Vertragserfüllung erforderlich ist. Eine Bonitätsprüfung ist zum Beispiel schon nicht mehr inbegriffen.
Datenverarbeitung auf Basis berechtigter Interessen des Unternehmens
Eine Datenverarbeitung kann nach der EU-DSGVO auch auf berechtigte Interessen des verantwortlichen Unternehmens gestützt werden. In dem Fall muss die Verarbeitung zur Wahrung der berechtigten Interessen erforderlich sein. Dabei dürfen die Interessen oder Rechte der betroffenen Person nicht überwiegen. Berechtigt ist zunächst einmal jedes legale Interesse.
Die Datenverarbeitung muss für diesen Zweck notwendig sein, was sich in der Regel ausgestalten lässt. Ob die Verarbeitung dann zulässig ist, ist Ergebnis einer Interessenabwägung. Damit lässt das Gesetz die Unternehmen weitgehend allein. Maßgeblich sollen die vernünftigen Erwartungen des Betroffenen sein.
Letztlich muss im Einzelfall entschieden werden, ob die Person, deren Daten verarbeitet werden sollen, damit rechnen und im Wesentlichen einverstanden sein wird, dass die Daten zu dem jeweiligen Zweck verarbeitet werden. Unsicheres Terrain.
Höhere Anforderungen an die freiwillige Einwilligung
Findet sich im Gesetz keine Rechtfertigung, kann die Einwilligung des Betroffenen helfen. Auf eine freiwillig erteilte Einwilligung lässt sich nahezu jeder Datenverarbeitungsvorgang stützen. Voraussetzung ist aber, dass die Einwilligung wirksam erteilt wurde. Die EU-DSGVO legt im Vergleich zum geltenden Recht höhere Anforderungen an die Erteilung der Einwilligung.
Oberste Regel ist, dass Einwilligungen freiwillig abgegeben werden. Dies wirft insbesondere Fragen auf, wenn die Einwilligung mit dem Vertragsschluss verbunden wird. Das neue Recht verbietet für bestimmte Umstände eine Kopplung von Einwilligung mit Vertragsschluss. Außerdem sollen für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Die Einzelheiten sind unklar, was erhebliche Unsicherheiten mit sich bringt.
Alte Einwilligungen gelten nur (aber immerhin) dann weiterhin, wenn sie im Wesentlichen den Anforderungen der EU-DSGVO entsprechen. Zweifelhaft ist das insbesondere, wenn die Einwilligung – was bisher zulässig war – an den Abschluss des Vertrages geknüpft war.
Diese Pflichten müssen Sie erfüllen
Wesentliche Neuerung der EU-DSGVO ist die Umkehrung der Darlegungslast. Während es bisher für mittelständische Unternehmen vertretbar war, in Sachen Datenschutz einfach nichts falsch zu machen, legt die Datenschutzgrundverordnung den Unternehmen umfangreiche Pflichten auf, die aktiv erfüllt werden müssen, um Bußgelder zu vermieden. Die wichtigsten Punkte einer ganzen Reihe von Compliance-Vorgaben werden im Folgenden dargestellt.
Compliance-Vorgaben nach der Datenschutzgrundverordnung (EU-DSGVO)
Verfahrensverzeichnis
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Zwar sieht die EU-DSGVO eine Ausnahme von dieser Pflicht für kleinere Unternehmen vor. Die Rückausnahmen, die die gleiche Vorschrift enthält, sind jedoch so weitreichend, dass selbst Kleinstunternehmen von der Ausnahme nicht profitieren können. In dem Verzeichnis müssen alle Datenverarbeitungsvorgänge aufgelistet und insbesondere der Zweck der Verarbeitung und die Löschfristen genannt werden. Das Verzeichnis kann auch elektronisch, etwa in einer Excel-Tabelle geführt werden, und muss auf Anfrage der Behörde jederzeit vorgelegt werden können.
Betroffenenrechte
Ein wichtiger Teil der EU-DSGVO sind die Rechte der Betroffenen. Dabei ist vieles nicht wirklich neu, der Teufel liegt hier im Detail. Der Kunde kann wie bisher jederzeit Auskunft über die Speicherung seiner Daten verlangen. Diese Auskunft muss unverzüglich erteilt werden. Dies bedeutet, dass in jedem Unternehmen ein Prozess geschaffen werden muss, der den Umgang mit Auskunftsansprüchen betrifft. Niemand sollte sich erstmals mit den Ansprüchen beschäftigen, wenn ein solcher Anspruch geltend gemacht wird. Neu ist ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann dem Unternehmen nicht verwehrt werden, Daten zu speichern, die für die Vertragserfüllung oder Verfolgung von Ansprüchen benötigt werden. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.
Datenschutzinformation
Jedes Unternehmen mit einer Website kennt das schon jetzt: Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Das neue Recht geht in doppelter Hinsicht darüber hinaus. Zum einen gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Auch wer offline Daten erhebt, etwa in einem Kundengespräch, muss über die Verarbeitung der Daten informieren. Außerdem ist der Umfang der Pflichtinformationen noch einmal erweitert worden.
Meldepflichten bei Datenpannen
Deutlich ausgeweitet werden die Pflichten zur Meldung von Datenpannen. Während eine Meldung bisher nur im Ausnahmefall erforderlich ist, muss nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Behörde – unter Umständen auch den Betroffenen – gemeldet werden. Aus dieser Pflicht folgt letztlich die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift.
Benennung eines Datenschutzbeauftragten
Auch das neue Datenschutzrecht sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Unternehmen mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach Mai 2018 viele deutsche Unternehmen einen Datenschutzbeauftragten bestellen müssen.
Beispiele für die Anwendung der EU-DSGVO in der Praxis
Im Folgenden wird an vier Beispielen kurz erläutert, wie sich die EU-DSGVO konkret auf die Arbeit in Unternehmen auswirkt.
Beispiel 1: Kundendaten
Zunächst einmal haben alle Daten, die zu einem Kunden gespeichert sind, Personenbezug. Die Tatsache, dass sich ein Kunde für ein bestimmtes Produkt interessiert, ohne es zu kaufen, ist genauso personenbezogen, wie die Zahlungsfrist oder die Zahl (und der Inhalt) der Mahnungen, die versandt wurden. Dies ist offensichtlich, wenn es sich um Privatkunden handelt. Im B2B-Bereich gilt das nur bei Kleinunternehmen oder wenn die Daten zu einem Ansprechpartner gespeichert werden. Für jedes einzelne Datum muss geprüft werden, ob ein Rechtfertigungsgrund besteht und wie lange dieser reicht. So besteht beispielsweise kein Grund, eine Kaufabsicht für ein konkretes Produkt ewig zu speichern. Je nach Investment muss diese Information schon wenige Wochen später wieder gelöscht werden. Die Auftragshistorie darf dagegen länger – im Zweifel bis zum Ablauf der jeweiligen Verjährungsfrist – gespeichert werden. So ist für jedes einzelne Datum eine Löschfrist zu ermitteln. Kreditkartendaten dürfen in aller Regel nur mit zusätzlicher Einwilligung des Kunden gespeichert werden.
Beispiel 2: Lohnbuchhaltung
Die Lohnbuchhaltung wird in der Regel an einen Spezialisten gegeben oder mittels einer Software erledigt. In beiden Fällen bleibt das Unternehmen für die Datenverarbeitung verantwortlich. Dies bedeutet insbesondere, dass mit einem Dienstleister eine (Auftragsverarbeitungs-)Vereinbarung zu schließen ist, die den Vorgaben der Datenschutzgrundverordnung gerecht wird.
Wird eine Software verwendet, muss sichergestellt sein, dass das Produkt ein hinreichendes Datenschutzniveau gewährleistet und geeignete technische und organisatorische Maßnahmen beinhaltet. So sollte beispielsweise ein Berechtigungskonzept existieren, damit nicht jeder Mitarbeiter, der Zugriff auf die Software hat, personenbezogene Daten von Mitarbeitern einsehen kann. Sprechen Sie Ihren Softwareanbieter gezielt auf die EU-DSGVO an. Software-Hersteller wie Haufe-Lexware stellen zurzeit sicher, dass in ihren Softwarelösungen die Anforderungen der EU-DSGVO umgesetzt werden, bevor diese in Kraft tritt.
Beispiel 3: Warenwirtschaft
Unternehmen, die für ihre Warenwirtschaft auf eine Softwarelösung setzen, verarbeiten automatisch personenbezogene Kunden- und Lieferantendaten mit dieser Software. Auch hier ist essenziell, dass die Software den Anforderungen der EU-DSGVO gerecht wird. So müssen hinreichende technische und organisatorische Maßnahmen einen ausreichenden Datenschutz gewährleisten. Die Verordnung enthält unter anderem Vorgaben zu Privacy by Design, die natürlich bei einer Softwarelösung zu berücksichtigen sind. Auch hier gilt: Software-Hersteller wie Haufe-Lexware werden dafür sorgen, dass den Anforderungen des neuen Datenschutzrechts entsprochen wird und Sie über den jeweils aktuellen Stand informiert werden.
Beispiel 4: Newsletter-Werbung
Fast jedes Unternehmen versendet mehr oder weniger regelmäßig E-Mail-Nachrichten an Kunden und Interessierte. Die Datenschutzgrundverordnung lässt die gesetzlichen Vorschriften zur Zulässigkeit solcher Marketing-Aktionen unberührt. Insbesondere bleibt es dabei, dass jedenfalls grundsätzlich eine vorherige ausdrückliche Einwilligung des Empfängers vorliegen muss. Es ist darauf zu achten, dass diese Einwilligung auch den datenschutzrechtlichen Anforderungen genügt.
Soll der Newsletter personalisiert und in Abhängigkeit von Wissen über den Empfänger (z.B. Bestellverhalten oder Öffnungsrate) ausgestaltet werden, ist dies eine Verarbeitung von Daten, die wiederum rechtfertigungsbedürftig ist. Je nachdem, welche Daten für die Individualisierung des Marketingmaterials tatsächlich verwendet werden, lässt sich das womöglich mit berechtigten Interessen des werbenden Unternehmens rechtfertigen. Hier hilft die Verordnung, die das Direktmarketing ausdrücklich als mögliches berechtigtes Interesse bezeichnet. Maßgeblich sind die vernünftigen Erwartungen der Empfänger. Je mehr Daten verwendet werden und je überraschender deren Verwendung ist, umso eher wird sich die Auswertung der Daten nicht mehr auf berechtigte Interessen stützen lassen. Im Zweifel ist dann eine Einwilligung erforderlich. In jedem Falle muss der Empfänger die Möglichkeit haben, die Personalisierung zu beenden. Über dieses Widerspruchsrecht muss der Empfänger vorab belehrt werden.
Kleines EU-DSGVO-Projekt – Was ist konkret zu tun?
Jedes Unternehmen muss sich mit den Anforderungen des neuen Datenschutzrechts vertraut machen und jedenfalls ein kleines EU-DSGVO-Projekt auf die Beine stellen. Schritt 1 sollte stets eine Bestandsaufnahme sein, bei der folgende Fragen geklärt werden:
Welche Datenverarbeitungsvorgänge finden statt?
Welche personenbezogenen Daten werden zu welchen Zwecken wie lange speichert?
Dabei sollten einmal alle wesentlichen Bereiche des Unternehmens durchdacht werden: Personal, Buchhaltung, Marketing, Vertrieb und natürlich die eigentliche Leistungserbringung, die je nach Unternehmensgegenstand sehr viel mit personenbezogenen Daten zu tun haben kann. Werden Teile der Einzelbereiche mit einer Softwarelösung erbracht, überzeugen Sie sich, welche Daten zu welchen Zwecken gespeichert werden.
Im Anschluss sollte kurz geprüft werden, ob diese Datenverarbeitungsvorgänge mit dem neuen Datenschutzrecht in Einklang stehen (so genannte Gap-Analyse). Vordergründig am wichtigsten ist es, die Rechtstexte, die nach außen sichtbar sind, der neuen Rechtslage anzupassen. Dies betrifft vor allem die Datenschutzerklärung auf der Website, aber auch Einwilligungserklärungen von Kunden, Newsletter-Empfängern oder Angestellten. Auch die Verträge mit Dienstleistern müssen geprüft und gegebenenfalls angepasst werden. Schließlich ist dafür Sorge zu tragen, dass die Minimalanforderungen an die Datenschutz-Compliance gewahrt sind. Das notwendige Verfahrensverzeichnis sollte sich weitgehend aus der Bestandsaufnahme aus Schritt 1 ergeben. Ein Konzept (Prozess) für die Gewährleistung von Betroffenenrechten ist ebenfalls ein Muss. Wenn ein Datenschutzbeauftragter bestellt werden muss, sollte dies schnell erledigt werden.
Letztlich müssen Sie Ihre Systeme auf Übereinstimmung mit dem neuen Recht prüfen. Betrauen Sie Dienstleister oder Softwareanbieter mit der Datenverarbeitung, müssen Sie sich davon überzeugen, dass die Anforderungen abgebildet sind. Dabei können Sie grundsätzlich auf Aussagen der Hersteller vertrauen. Wichtig ist aber, dass entsprechende Abfragen bei den Anbietern gemacht werden. Erhalten Sie kein Update in Bezug auf den neuen Datenschutz, sollten Sie skeptisch sein.
Fazit
Die EU Datenschutzgrundverordnung bringt Veränderungen und ist für Unternehmen mit erheblichem Aufwand und Kosten verbunden. Die Verordnung verhilft allen Bürgern zu mehr Datenschutz – nicht unbedingt, weil sich die Regeln verschärfen, sondern vor allem weil sich Unternehmen deutlich mehr als bisher mit dem Datenschutz auseinandersetzen müssen. Grund dafür sind unter anderem die potenziell drohenden horrenden Bußgelder. Genauso wie der Arbeitsschutz oder die Regelungen zur Mehrwertsteuer sollte die Befassung mit dem Datenschutz in Zukunft Selbstverständlichkeit werden.
Die EU-DSGVO gilt für alle Unternehmen. Wer sich bisher nicht um den Datenschutz gekümmert hat, sollte damit jetzt anfangen. Die Regeln sind teilweise kompliziert, mit ein bisschen Vorbereitung lässt sich die EU-DSGVO jedoch in den Griff bekommen. Der Einsatz von Software für Standardprozesse im Unternehmen kann dabei helfen. Dies gilt aber nur dann, wenn der Anbieter sich explizit um den Datenschutz kümmert, seine Kunden in Bezug auf die EU-DSGVO gezielt informiert und über die notwendigen Softwareanpassungen auf dem Laufenden hält.
Quelle: Dr. Martin Schirmbacher, Fachanwalt für IT-Recht, HÄRTING Rechtsanwälte PartGmbB; Berlin auf Lexware.de