Unternehmenssicherheit 2018 - was kommt auf Unternehmen im Datenschutz zu?

Im Jahr 2017 müssen Unternehmen vielfältige Vorbereitungen treffen, um sich auf die Europäische Datenschutz-Grundverordnung (ab dem 25. Mai 2018), die Know-How Richtlinie (ab dem 5. Juli 2018) sowie das IT-Sicherheitsgesetzes (ab dem 25. Juli 2018) vorzubereiten.

Als erhebliches Risiko für Unternehmen wird hierbei der Datenschutz eingeschätzt. Datensicherheit und Wirtschaftsspionage rücken ebenfalls immer stärker in den Focus. Maßgeblich für den Erfolg der Umsetzung in diesen drei Bereichen wird es sein, die Mitarbeiter für regelkonformes Verhalten zu sensibilisieren, die Regeln nachhaltig zu verankern und tagtäglich zu leben.

Die europäische Datenschutzreform bedeutet die größte Zäsur im Datenschutzrecht seit dem Inkrafttreten des Bundesdatenschutzgesetzes im Jahr 1977. Die Datenschutz-Grundverordnung (DS-GVO) tritt ab dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union gleichzeitig in Kraft, ohne dass es einer Umsetzung durch nationale Gesetze bedarf. Das derzeit geltende Bundesdatenschutzgesetz wird folglich zum 25. Mai 2018 aufgehoben.

Ziele der DS-GVO sind insbesondere

• die Rechtsanwendung des Datenschutzes in Europa zu vereinheitlichen,
• datenschutzrechtliche Regeln der EU auf ausländische Unternehmen zu erstrecken, die in der EU Daten erheben (Marktortprinzip),
• die Datenschutzaufsicht zu vereinheitlichen (One-Stop-Shop) und
• die Einhaltung des Datenschutzes strenger durchzusetzen (Accountability).

Im Vergleich zum derzeit geltenden Bundesdatenschutzgesetz werden durch die DS-GVO insbesondere folgende Neuerungen eingeführt:

Zu den personenbezogenen Daten werden künftig auch IP-Adressen und Cookie-Kennungen gehören, die Geräte, Software-Anwendungen, Software-Tools oder Protokolle liefern, und sonstige Kennungen wie RFID-Kennzeichnungen. Profiling und Scoring werden ausnahmsweise unter bestimmten Voraussetzungen zugelassen sein (Art. 22 Abs. 2 DS-GVO). Im Übrigen werden die besonderen Kategorien personenbezogener Daten um genetische und biometrische Daten sowie um Daten über strafrechtliche Verurteilungen und Straftaten erweitert. Außerdem führt die DS-GVO neu das Recht auf Löschung bzw. auf Vergessenwerden ein (Art. 17 DS-GVO) sowie das Recht auf Datenportabilität (Art. 20 DS-GVO).

Erstmals wird es im Datenschutzrecht auch Regelungen zur gemeinsamen Verantwortlichkeit bei gemeinsamer Datenverarbeitung von mehreren Unternehmen geben (Art. 26 DS-GVO), es werden zum Beispiel konkrete Vorgaben zu Ausgestaltung, Inhalten und Durchführung einer Joint Control-Vereinbarung  beschrieben. Bei der Auftragsdatenverarbeitung müssen umfangreiche Regeln und Qualitätsstandards eingehalten werden. Der für die Verarbeitung Verantwortliche hat insbesondere geeignete technische und organisatorische Maßnahmen (TOMs) durchzuführen, und diese geeigneten TOMs nachzuweisen. Dazu gehört beispielsweise eine datenschutzfreundliche Technik in der Entwicklung neuer Produkt- und Dienstleistungsangebote anzuwenden („Privacy by Design“, Art. 25 Abs. 1 DS-GVO). Durch datenschutzfreundliche Voreinstellungen soll dem Nutzer darüber hinaus die Möglichkeit gegeben werden, selbst zu entscheiden, ob und in welchem Umfang persönliche Daten preisgegeben werden („Privacy by Default“, Art. 25 Abs. 2 DS-GVO). Bei besonders riskanten Datenverarbeitungen schreibt die DS-GVO eine Datenschutzfolgenabschätzung vor (Art. 35 DS-GVO).

Vorteilhaft wird die in der Verordnung vorgesehene Zertifizierungsmöglichkeit zum Nachweis der Compliance gesehen, z.B. für Cloud-Anbieter. Durch die Verwendung pseudonymisierter Daten wird zudem die Nutzung von Big Data gefördert. Europaweite Geschäftsmodelle und Lösungen sollen durch die Einrichtung einer zentral zuständigen Aufsichtsbehörde unterstützt werden.

Verletzungen des einheitlichen europäischen Datenschutzrechts können nach der DS-GVO mit Geldbußen bis zu 20 Mio. Euro oder bei Unternehmen bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes betragen. Angesichts dieser hohen Sanktionen halten wir es für unabdingbar, dass sich Unternehmen rasch auf die Vorgaben der DS-GVO einstellen.

Schon jetzt werden datenschutzrechtliche Verstöße zunehmend geahndet. Derzeit findet eine bundesweite Prüfaktion der Datenschutzaufsichtsbehörden zur grenzüberschreitenden Übermittlung personenbezogener Daten in das Nicht-EU-Ausland (z.B. in die USA) statt. Relevant sind insbesondere Fernwartung, Support, Ticket-Bearbeitungen, Customer Relationship Management oder Bewerbermanagement. Sofern Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln, müssen sie den Aufsichtsbehörden angeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen.

Vor diesem Hintergrund der strengeren Haftungsmaßstäbe sowie den Erwartungen von Geschäftspartnern und Verbrauchern ist es wichtig, in der gesamten Geschäftstätigkeit wirksamen Datenschutz sicherzustellen.

Gerne beraten wir Sie bei der Umsetzung der DS-GVO.