Datenschutzgrundverordnung – das ändert sich für Unternehmen

Datenschutzgrundverordnung – das ändert sich für Unternehmen

Von Ildiko Holderer

  • Auch kleine Unternehmen von Neuregelungen betroffen
  • Handlungsbedarf individuell ermitteln
  • Experte: Ehrliches Bemühen wird honoriert

Besonders kleine Unternehmen wie Arztpraxen oder Bäckereien befürchten, dass die neuen EU-Regelungen zum Datenschutz viel bürokratischen Aufwand bedeuten könnten. "Wenn ich nur zehn, zwanzig Mitarbeiter habe und die Umsetzung des Datenschutzrechts zusätzliche Arbeit bedeutet, dann hat das eine größere Auswirkung auf meine Ressourcen als bei großen Unternehmen", sagte Fachanwalt Henning Krieg dem WDR. Viele kleinere Unternehmen hätten keine eigenen Rechtsabteilungen, geschweige denn einen eigenen Datenschutz-Beauftragten.

"Es gibt leider einige Juristinnen und Juristen, die in den letzten zwei Jahren so eine Art Panik-Marketing betrieben haben", so Krieg. Dabei ist Panik der schlechteste Berater – vor allem, wenn noch kurzfristig Maßnahmen getroffen werden sollen.

Die Datenschutzkonferenz und das Bundeswirtschaftsministerium raten Unternehmen, unter anderem folgende Punkte zu beachten:

Bestandsaufnahme

Jedes Unternehmen sollte seinen Ist-Zustand analysieren. Dabei sind zum Beispiel folgende Fragen wichtig: Wo erheben wir überhaupt personenbezogene Daten, auf welche Rechtsgrundlagen stützen wir uns dabei, was tun wir bereits für den Datenschutz?

Prüfen der Rechtsgrundlagen

Unternehmen dürfen personenbezogene Daten grundsätzlich nur dann erheben, wenn es dafür auch eine Rechtsgrundlage gibt. Deshalb ist es wichtig zu prüfen, ob auch das neue Recht mit allen Datenverarbeitungs-Prozessen vereinbar ist.

Zum Beispiel dürfen personenbezogene Daten von Kindern und Jugendlichen unter 16 Jahren grundsätzlich nicht mehr erhoben werden, es sei denn, die Erziehungsberechtigten willigen ein.

Datenschutzerklärungen

Unternehmer sollten überprüfen, ob ihre Datenschutzerklärungen den neuen Anforderungen der DSGVO entsprechen. Personenbezogene Daten dürfen grundsätzlich nur dann verarbeitet werden, wenn der Unternehmer dafür das Einverständnis seiner Kunden eingeholt hat. Informationen über die Datenverarbeitung müssen in verständlicher, klarer und einfacher Sprache formuliert sein (Artikel 58).

Teilweise scheint die Gesetzeslage allerdings noch unklar: Ob beispielsweise Cookie-Disclaimer bei Webseiten notwendig sind, ist noch nicht abschließend geklärt. Dies soll unter anderem in der geplanten ePrivacy-Verordnung genauer festgelegt werden. Klarheit könnten auch nationale Urteile bringen. Viele Unternehmen weisen trotzdem schon auf den Einsatz von Cookies auf ihrer Webseite hin.

Verträge und Regularien prüfen

Viele Unternehmen arbeiten mit Dienstleistern zusammen, beispielsweise bei der Betreuung der Unternehmens-Webseite. Auch die Verträge mit diesen Dienstleistern müssen den Anforderungen der Datenschutzgrundverordnung entsprechen (Artikel 28).

Geschäftsabläufe wie die interne und externe Kommunikation des Unternehmens oder auch Dienstvereinbarungen müssen ebenfalls überprüft werden.

Anforderungen bei Informationspflichten

Unternehmen müssen nicht nur Datenschutzerklärungen abgeben, sondern sie müssen auch ihre Kunden informieren, was mit deren Daten geschehen ist. Betroffene können eine kostenlose Kopie aller verarbeiteten Daten verlangen.

Dabei dürfen allerdings die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. "Dem Recht auf Herausgabe einer Kopie können zum Beispiel Geschäftsgeheimnisse entgegenstehen", sagte der Jurist und Datenschutzexperte Jan Rensinghoff von der Technischen Universität Dortmund dem WDR. Unternehmen sollten in jedem Fall mit einkalkulieren, dass sie Anfragen bearbeiten und beantworten müssen.

Technikgestaltung und Voreinstellungen

Webseiten, Apps und auch analoge Methoden zur Datenverarbeitung müssen technisch so organisiert sein, dass sie so wenige Daten wie möglich erheben und speichern (Artikel 25). Das bedeutet, dass Unternehmer nur solche Daten erheben dürfen, die sie unbedingt brauchen.

Dokumentation

Die DSGVO sieht an verschiedenen Stellen Dokumentationspflichten vor. Zum Beispiel müssen Unternehmen nun in einem sogenannten Verarbeitungsverzeichnis zusammenstellen, wie sie Daten verarbeiten (Artikel 30).

Auch Verletzungen des Datenschutzes müssen dokumentiert werden (Artikel 33). Gibt es zum Beispiel eine Datenpanne, die ein Risiko für die Rechte und Freiheiten von Personen darstellt, müssen Unternehmen diese Panne innerhalb von 72 Stunden an die Aufsichtsbehörde melden. Außerdem müssen sie im Nachhinein alle Fakten zur Panne, deren Auswirkungen und ergriffene Maßnahmen dokumentieren.

Datenschutz-Folgenabschätzung

Wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Verbraucher darstellt, dann besteht nach der DSGVO (Artikel 35) eine Pflicht zur Datenschutz-Folgenabschätzung. Diese löst die Vorabkotrolle nach dem Bundesdatenschutzgesetz ab.

Eine Folgenabschätzung ist zum Beispiel dann notwendig, wenn ein Unternehmen Persönlichkeitstests oder Scorewertberechnungen erstellt oder Gebäude wie Einkaufszentren mit Videoaufnahmen überwacht.

Datenschutzbeauftragte

Wie bisher müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sich mindestens zehn Personen in einem Unternehmen ständig mit automatisierter Datenverarbeitung beschäftigen (Paragraph 38 BDSG). Außerdem gibt es eine Reihe weiterer Fälle, in denen nach der DSGVO (Artikel 37) auch kleine Unternehmen einen Datenschutzbeauftragten benennen müssen.

Das ist etwa dann der Fall, wenn die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters in der Verarbeitung von Daten besteht, die eine regelmäßige und systematische Überwachung der Personen erforderlich machen (Artikel 37 Absatz 1 DSGVO). Klassisches Beispiel: Security-Firmen. Kontaktdaten des Datenschutzbeauftragten müssen der jeweiligen Datenschutzbehörde genannt werden.

Datensicherheit

Laut der Datenschutzkonferenz müssen Unternehmen "ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten". Das kann der Verordnung nach "gegebenenfalls" die Verschlüsselung personenbezogener Daten oder die Belastbarkeit der Systeme beinhalten. Schutzmaßnahmen müssen regelmäßig überprüft werden (Artikel 24 und 32 DSGVO).

Beschäftigtendatenschutz

Auch die Datenverarbeitung von Mitarbeitern fällt unter die Datenschutzgrundverordnung (Artikel 88) und unter die genaueren Bestimmungen im neuen Bundesdatenschutzgesetz (Paragraf 26). Mitarbeiter müssen freiwillig und schriftlich ihre Einwilligung zur Datenverarbeitung geben und auch über den Zweck der Verarbeitung aufgeklärt werden. Auch bei Betriebsvereinbarungen müssen Arbeitgeber die Datenschutzgrundverordnung im Blick behalten.

Zertifizierung

Unternehmen können mithilfe von Zertifizierungsverfahren nachweisen, dass sie die Bestimmungen der Datenschutzgrundverordnung einhalten (Artikel 42 DSGVO). Damit sollen Kontrollen erleichtert werden. Die Zertifikate müssen von der zuständigen Datenschutz-Aufsichtsbehörde oder von nationalen Akkreditierungsstellen zugelassen sein (Artikel 43).

Die Datenschutzbehörden können nach dem 25. Mai zunächst auch eine beratende Funktion haben. Wichtig ist vor allem, dass Unternehmer das Thema DSGVO ernsthaft angehen. Denn Experten gehen davon aus, dass vor allem bewusste und wiederholte Verstöße hart bestraft werden. "Wenn die Datenschutzbehörden aber bemerken, dass sich jemand bemüht, haben sie das in der Vergangenheit honoriert und werden das meiner Meinung nach auch in der Zukunft tun", sagt Henning Krieg. Er rät dazu, sich auch mithilfe von Handreichungen der jeweiligen Berufsverbände zu informieren.

Stand: 15.05.2018, 06:00