EU-DSGVO: Die Zeit drängt
In sechs Monaten tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, doch nicht in allen Unternehmen ist das Bewusstsein dafür geschärft, welche Aufgaben und Risiken auf sie zukommen.
Die Erinnerungen verschönern das Leben, aber das Vergessen macht es erträglich“, formulierte es der französische Schriftsteller Honoré de Balzac vor rund 200 Jahren. Ähnliches hatte die EU-Kommission im Sinn, als sie die EU-DSGVO erließ, die am 25. Mai kommenden Jahres in Kraft tritt. Mit der Verordnung sollen die Rechte vor allem von Bürgern, Verbrauchern und Arbeitnehmern in der EU gestärkt werden und die Transparenz in der Datenverarbeitung erhöht werden; zudem sollen die Unternehmen verpflichtet werden, in all ihren Geschäftsprozessen die Daten so zu verarbeiten, dass ein Recht auf Vergessen garantiert ist. Tun sie es nicht, drohen harte Strafen, sprich Geldbußen, die „wirksam, verhältnismäßig und abschreckend“ sein sollen – sie reichen bis zu vier Prozent des weltweiten Vorjahresumsatzes oder 20 Millionen Euro (im Zweifelsfall gilt der höhere Wert).
Wer ist betroffen?
Wer ist von der Verordnung betroffen? Laut Jan-Dierk Schaal, Senior Manager KPMG Law Rechtsanwaltsgesellschaft mbH, „nahezu jedes Unternehmen in Europa“. „Der Anwendungsbereich umfasst zum einen europäische Unternehmen, welche personenbezogene Daten verarbeiten. Zum anderen betrifft die Verordnung außereuropäische Unternehmen, die ihr Waren- und Dienstleistungsangebot an Personen innerhalb der Europäischen Union richten oder die das Verhalten von Personen innerhalb der EU beobachten.“
Wie geschärft ist das Bewusstsein für die EU-DSGVO in den Unternehmen?
„Etliche Unternehmen haben bereits mit der Umsetzung der Anforderungen begonnen und erforderliche Maßnahmen aufgesetzt. Aber einem erheblichen Teil ist die Relevanz nicht bewusst oder sie befinden sich aktuell noch in der Bewertung“, berichtet Kai Grunwitz, Senior Vice President EMEA bei NTT Security. Der Sicherheitssoftwareanbieter hat eine Untersuchung erstellt, in der weltweit Unternehmensvertreter u. a. nach der neuen EU-Verordnung befragt wurden. Das Ergebnis des Reports „Risk:Value 2017“: Nur 40 Prozent der befragten Unternehmensvertreter waren der Ansicht, ihr Unternehmen sei von der EU-DSGVO betroffen. Besonders niedrig in Europa ist der Anteil der Befragten, die die Verordnung für relevant halten, in Großbritannien mit 39 Prozent. Außerhalb Europas sind sich viele Entscheider noch weniger bewusst, dass ihr Unternehmen davon betroffen sein wird, ganze 25 Prozent in den USA und 29 Prozent in Hongkong. Nur knapp ein Drittel der weltweit Befragten konnte angeben, wo die Unternehmensdaten physisch gespeichert sind, und von diesen konnten nur 45 Prozent sagen, wie sich die Verordnung auf ihre Datenspeicherung auswirken wird. Nicht wenige Unternehmensvertreter fühlen sich durch die Einhaltung entsprechender DIN- und ISO-Normen geschützt – beispielsweise der internationalen Norm DIN ISO/IEC 27001 oder des BSI-IT-Grundschutzes. Nach Auffassung von Maria Scheiter, Executive Consultant GRC bei NTT Security, sind damit „gute Voraussetzungen geschaffen, um personenbezogene Daten sicher zu verarbeiten, aber es liegt keine automatische Konformität mit der EU-Datenschutz- Grundverordnung vor.“ Kai Grunwitz empfiehlt, „der Interpretation der Anforderungen der EU-DSGVO und Bewertung der Auswirkungen unbedingt Aufmerksamkeit zu schenken, nicht nur, um die Relevanz richtig einzuschätzen, sondern auch um eine umfassende Umsetzung für das Unternehmen zu gewährleisten und gegebenenfalls vorhandene Synergien zu nutzen“.
Was ist neu?
Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden. Hinzu kommt die Verpflichtung, ein sogenanntes „Privacy by Design“ einzuführen, mit dem datenschutzrelevante Maßnahmen von Beginn an in Design sowie Entwicklung von Systemen, Prozessen und Produkten integriert werden. Auch sind mehr Daten betroffen, so etwa Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Die Anforderungen an „bestimmbare Personen“ sind sehr gering. Auch Lieferanten können betroffen sein, zum Beispiel solche, die von einem Unternehmen beauftragt werden, personenbezogene Mitarbeiterdaten zu verarbeiten.
Wie sollten Unternehmen jetzt vorgehen?
Die Rechtsanwältin und zertifizierte Datenschutzexpertin (CIPP/E) Daniela Fábián Masoch, Geschäftsführerin der Fabian Privacy Legal GmbH, plädiert für eine mehrstufige Vorgehensweise: „Unternehmen sollten zunächst Klarheit darüber bekommen, welche personenbezogenen Daten sie überhaupt bei Geschäftsprozessen wozu erheben und nutzen, wer innerhalb und außerhalb der Unternehmensgruppe Zugriff darauf hat und wo diese gespeichert sind. Zudem sollten die Unternehmen prüfen, welche Datenschutz-Management-Praktiken im Unternehmen vorhanden sind, wo Lücken im Bezug zur EU-DSGVO bestehen und welchen Risiken sie ausgesetzt sind.“ Danach sollte ein Plan erstellt werden, wie diese Lücken zu schließen sind. Experten empfehlen, mit der Analyse spätestens jetzt zu beginnen, da die Zeit davonläuft. Ähnlich sieht die Herangehensweise des HR-Softwareanbieters PeopleDoc aus, der seine Kunden bei der Compliance unterstützt. Zum Start solle sich das Unternehmen fünf Fragen stellen: „Wie passt die Definition der ‚personenbezogenen Daten‘ aus der EU-DSGVO zu den Arbeitnehmerdaten, die vom Arbeitgeber im Rahmen seiner HR-Aktivitäten gesammelt werden? Wo im Unternehmen sind diese Daten gespeichert? Woher kommen die Daten und wohin werden sie transformiert – einschließlich externer Lieferanten? Wie sind die personenbezogenen Daten während des Lebenszyklus gesichert? Welche Regelungen und Vorschriften müssen überarbeitet oder entwickelt werden, um die Vorschriften der EU-DSGVO einzuhalten?“
Wie können Vorgaben eingehalten werden?
Entscheidend ist nach Ansicht der Experten eine klare Strategie. Dazu zählen klare Verantwortlichkeiten für den Datenschutz (u. U. die Ernennung eines Datenschutzbeauftragten), standardisierte Datenschutzstandards, die mindestens die Grundanforderungen erfüllen, und Prozesse für die Wahrung der Rechte der betroffenen Personen, ein durchorganisiertes Beschwerdemanagement, ein entsprechendes Risikomanagement mit Meldung und Beseitigung von Datenpannen, eine Datenschutz-Folgenabschätzung sowie die Einführung von „privacy by design“. Außerdem muss das Personal im Unternehmen für die Anforderungen der EU-DSGVO über Schulungen sensibilisiert werden, und es muss geklärt werden, wie die Übermittlung personenbezogener Daten innerhalb des Unternehmens und zu Dritten aussehen soll. Schließlich muss ein funktionierendes Überwachungskonzept entwickelt und implementiert werden.
Ist es sinnvoll, darüber hinauszugehen?
Vielleicht aber ist es sinnvoll, noch ein paar Schritte weiterzugehen. Die Einhaltung der EU-DSGVO-Compliance sollte Teil einer umfassenden Unternehmensphilosophie sein und von der Spitze her gelebt werden – damit ist das EU-DSGVO-Management Chefsache. Es sollte nicht einfach eine lästige Pflicht sein, denn immerhin geht es darum, das Image des Unternehmens in der Öffentlichkeit , bei gegenwärtigen und künftigen Mitarbeitern sowie bei Geschäftspartnern als verantwortungsvoll handelnde Organisation zu stärken. Dazu gehören auch ein umfassender Schutz der Daten und der sichere IT-Betrieb.
Hier könnten echte Mehrwerte im Wettbewerb entstehen, wenn es gelingt, über entsprechende Maßnahmen und ihre Dokumentation Vertrauen zu schaffen. Zudem fördern transparente personenbezogene Daten die Automatisierung von Prozessen und treiben somit die Digitalisierung voran. Einige aktuelle Studien belegen, dass Unternehmen, die auf diesem Weg vorangegangen sind, sich bereits Vorteile verschafft haben.
von Dr. Ralf Magagnoli
r.magagnoli@trendreport.de