Beitrag von Barbara Scheben, Rechtsanwältin und Partnerin im Bereich Compliance & Forensic der KPMG AG Wirtschaftsprüfungsgesellschaft.

Die EU-Datenschutz-Grundverordnung (DSGVO) setzt neue Maßstäbe im Datenschutz. Sie ist ab dem 25. Mai 2018 EU-weit für alle Unternehmen, die personenbezogene Daten, z. B. ihrer Mitarbeiter, Kunden oder sonstiger Dritter, verarbeiten, gültig. Sie erfasst auch außerhalb der EU ansässige Unternehmen, soweit diese Daten von in der EU befindlichen Personen zum Angebot von Waren und Dienstleistungen oder zur Verhaltensbeobachtung verarbeiten. Die DSGVO stellt die Rechenschaftspflicht des Verantwortlichen, also der Unternehmensleitung, in den Vordergrund. Diese muss jederzeit nachweisen können, dass sie die umfangreichen Anforderungen der DSGVO, inkl. der neuen Transparenzpflichten, Betroffenenrechte, Risikoanalysen, Form- und Fristvorgaben, erfüllt. Kann sie dies nicht, drohen bereits für das Nichtvorhalten verordnungskonformer Prozesse und Maßnahmen Sanktionen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes.

Aus diesem Grund ist die Konzeptionierung und Implementierung eines Datenschutz-Management-Systems unerlässlich. Zu diesem Zweck müssen Unternehmen ihre Datenschutzziele und –risiken bestimmen und ein entsprechendes Rahmenregelwerk schaffen. Dieses beinhaltet eine Aufbau- und Ablauforganisation, Regelprozesse, darauf abgestimmte Kontrollmaßnahmen und eine prüfungssichere Dokumentation. Risikoanalyse, Transparenz und Dokumentation sind die zentralen inhaltlichen Aspekte der DSGVO. Der Datenschutz wird nicht „vom Datenschutzbeauftragten gemacht“. Vielmehr kommt er an den verschiedensten Stellen in allen Unternehmensprozessen zum Tragen und muss von den jeweiligen Prozessverantwortlichen (first line) beachtet und umgesetzt werden. Die Datenschutz-Funktion nimmt hingegen eine beratende und kontrollierende Rolle ein (second line).

Das Verzeichnis der Verarbeitungstätigkeiten wird zum Kernelement des Datenschutz-Managements in seiner Funktion als Dokumentations- und Steuerungstool. Erfasst werden u. a. Informationen über die Art der Daten, die Kategorien der Betroffenen, den Zweck der Verarbeitung, die Empfänger der Daten, Löschfristen und technische und organisatorische Sicherungsmaßnahmen. Diese Informationen unterstützen den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflicht. Nicht zu unterschätzen ist, dass bereits die Erstinventarisierung aller Verarbeitungen einen enormen Aufwand bedeutet. Schließlich sind nahezu alle Unternehmensprozesse von der Verarbeitung personenbezogener Daten abhängig.

Neben diesen umfangreichen Anforderungen an die Dokumentation betont die DSGVO insbesondere den Aspekt der Risikoanalyse. So verpflichtet die DSGVO den Verantwortlichen geeignete technische und organisatorische Maßnahmen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Dementsprechend müssen Unternehmen für jede Verarbeitung eine ausführliche Risikoanalyse unter Berücksichtigung dieser Aspekte durchführen und deren Ergebnisse dokumentieren.

Ergibt die Analyse für bestimmte Verarbeitungen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen ist eine sog. Datenschutz-Folgenabschätzung durchzuführen. Diese kann die Verpflichtung der Konsultation der Aufsichtsbehörde nach sich ziehen.

Die Risikoanalyse spielt auch eine Rolle bei den geänderten Melde- und Benachrichtigungspflichten im Falle von Datenschutzverstößen. Hier müssen sich Unternehmen insbesondere auf die neue 72-Stunden-Frist einstellen.

Weitere zentrale Aspekte der DSGVO sind die Transparenz sowie die Stärkung der Betroffenenrechte. So sind u. a. Informationspflichten und Auskunftsrechte umfangreicher und insbesondere formalisierter ausgestaltet. Das Recht auf Datenportabilität sowie die Pflicht zu Privacy by Design und Privacy by Default seien als weitere Beispiele genannt. Nicht zu unterschätzen ist insbesondere das Recht auf Löschung, das angesichts der damit verbundenen drastischen Sanktion bei Nichterfüllung spätestens jetzt die unternehmensweite Umsetzung von Löschkonzepten, wie sie schon nach dem BDSG vorgesehen waren, erforderlich macht.

Insgesamt führt die DSGVO zu einer verstärkten Formalisierung der Datenschutzorganisation. Wer die umfangreichen Anforderungen an Dokumentation, Risikoanalyse und Transparenz erfüllen will, muss nun proaktiv handeln und ein Datenschutz-Management-System einrichten. Nur ein ganzheitlicher Ansatz wird es ermöglichen, der durch die DSGVO postulierten Rechenschaftspflicht nachzukommen.

Kontakt unter: bescheben@kpmg.com

Bildlizenz: KPMG Deutschland

Textlizenz:

CC BY-SA 4.0 DE

Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
  • Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.