Kompetenzen & Konzepte zur EU-Datenschutz-Grundverordnung (EU-DSGVO)
Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO oder DS-GVO) verpflichtend für alle Unternehmen in Europa. Jetzt ist die Zeit gekommen, sich auf die umfangreichen Neuregelungen der DS-GVO vorzubereiten. Auch wir sind in Vorbereitung: zusammen mit hochkarätigen Netzwerkpartnern erarbeiten wir Audit- und Zertifizierungskonzepte zur DS-GVO.
Die EU-Datenschutz-Grundverordnung: Das kommt auf Euch zu
Am 15. Dezember 2015 einigten sich die Verhandlungsführer aus den verschiedenen Mitgliedsstaaten der EU, aus der EU-Kommission und aus dem EU-Parlament auf die EU-Datenschutz-Grundverordnung. Die EU-DSGVO wird die Datenschutzrichtlinie aus dem Jahre 1995 ablösen – und das wird wirklich Zeit, denn in den letzten 21 Jahren hat sich viel getan!Der wesentliche Unterschied zu jetzigen Datenschutzrichtlinien besteht darin, dass die EU-DSGVO unmittelbar in der gesamten Europäischen Union gilt. Das bedeutet: ab dem 25.05.2018 sind sämtliche Neuerungen für alle Unternehmen in Europa verpflichtend!
Die Nichteinhaltung des Datenschutzes kann teuer werden!
Sanktionen bei Datenschutzverstößen werden derzeit eher zurückhaltend durchgesetzt. Das wird sich jedoch ändern, denn der Gesetzgeber hat das Ziel, Unternehmen, die den Datenschutz wissentlich oder unwissentlich vernachlässigen, empfindlich zu treffen.
Betroffene haben die Möglichkeit, bei Behörden und/ oder zuständigen Gerichten Beschwerde zu Datenschutzverstößen einzureichen. Agiert die jeweilige Behörde nicht binnen drei Monaten, kann die „Untätigkeit“, wie der Gesetzgeber es nennt, gerichtlich geprüft werden. Betroffene können immaterielle Schadenersatzansprüche geltend machen, deren Höhe im Ermessen des Gerichts liegt!
Das bedeutet für Euch: Da die Verbraucherseite immens gestärkt wird, könnt Ihr den drohenden Sanktionen nicht ausweichen. Jeder Datenschutz-Fehler kann so teuer werden, dass die Existenz daran hängt.
Datenschutz-Sanktionen in Zahlen
Blicken wir auf die aktuelle Lage, wird deutlich, dass Sanktionen in voller Höhe selten bis gar nicht durchgesetzt wurden. Materiell-rechtliche Datenschutzverstöße etwa werden aktuell gemäß § 43 Abs. 2 BDSG mit bis zu 300.000 € sanktioniert – tatsächliche Bußgelder in dieser Höhe hat es nicht gegeben.
Die Datenschutz-Grundverordnung jedoch sieht vor, Sanktionen für jeden Einzelfall zu prüfen. Art. 83 Abs. 1 EU-DSGVO erklärt, dass Geldbußen „wirksam, verhältnismäßig und abschreckend“ verhängt werden. Und das werden sie: Je nach Datenschutzverstoß können Sanktionen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, was teurer ist!
Die positivsten Änderungen der Datenschutz-Grundverordnung
Nicht nur die Verbraucherrechte werden gestärkt, sondern auch – und das ist die sehr gute Nachricht – die Möglichkeiten für Unternehmen, Werbung zu machen. Denn die Zulässigkeit von Werbung richtet sich mit der DSGVO nach einer allgemeinen Interessenabwägung aus. Hier ist der Erwägungsgrund 47 der DSGVO ausschlaggebend: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“Der für die Verarbeitung Verantwortliche muss also ein berechtigtes Interesse an der Datenverarbeitung haben. Ein solches „berechtigtes Interesse“ liegt vor, wenn Eure Produkte, Waren oder Dienstleistungen bekannter machen und/ oder verkaufen möchten.
Schutzwürdiges Interesse des Einzelnen
Die Möglichkeiten, zu werben, dürften also vielfältiger werden. Allerdings kann ein Verbraucher gemäß Art. 21 DS-GVO von seinem Widerspruchsrecht Gebrauch machen. Nimmt ein Verbraucher dies in Anspruch, so überwiegt das „schutzwürdige Interesse“ des Einzelnen. Dieses „schutzwürdige Interesse“ sorgt dafür, dass Werbemaßnahmen in jedweder Form unzulässig sind. Hier spannt sich der Bogen zur nächsten großen Änderung: Der aufwendige Dokumentationspflichten, zu denen wir gleich noch kommen. Es sei noch erwähnt, dass Zuwiderhandlungen, die mit falscher Dokumentation einhergehen können, richtig teuer werden und das bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Die höhere Zahl gewinnt, denn der Gesetzgeber möchte empfindlich mit dieser Maßnahme treffen.
Die aufwendigsten Änderungen
Der Dokumentationsaufwand wird ab Mai 2018 immens steigen, wir haben es gerade schon angesprochen. Der Gesetzgeber hat diesem Aufwand den Namen „Accountability“ spendiert, die Rechenschaftspflicht. Ihr habt künftig über alles Rechenschaft abzulegen. Denn der Art. 5 Abs. 2 DS-GVO schreibt vor: „Der für die Verarbeitung Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten] verantwortlich und muss dessen Einhaltung nachweisen können.“
Für Ihre Praxis bedeutet das, dass Ihr künftig nach dem „Belege deine Unschuld“-Prinzip agieren müssen. Also seid Ihr grundsätzlich in der „Bringschuld“: Belegt Ihr Eure Schutzmaßnahmen nicht transparent, sind existenzbedrohende Bußgelder die Folge.
Als für die Verarbeitung Verantwortlicher – als Unternehmensinhaber haben Ihr letztlich immer die Verantwortung – müsst Ihr nachweisen, dass Ihr die Prinzipien der Datenverarbeitung einhaltet.
Die da wären:
- Rechtmäßigkeit, Verarbeitung nach Treu & Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität & Vertraulichkeit
Ein Beispiel für alle erwähnten Datenschutz-Änderungen
Um einen besseren Praxisbezug zu schaffen, spulen wir die Zeit um gut 1,5 Jahre vor. Wir haben Ende Mai 2018, die DS-GVO gilt für sämtliche europäischen Unternehmen verbindlich. Ihr plant eine Werbemaßnahme: Ein Mailing soll kommende Woche per Post Euer Haus verlassen und möglichst viele Kunden gewinnbringend ansprechen.
Nun ist es Eure Pflicht, jeden Werbeempfänger noch mal zu prüfen: Liegt bei einem Empfänger ein Widerspruch vor, gilt dieser Widerspruch für sämtliche Werbekanäle! Ihr dürft also einem Empfänger, der auf einen Newsletter mit Widerspruch reagiert hat, auch postalisch keine Werbung zukommen lassen. Alle verantwortlichen Stellen und sämtliche Auftragsdatenverarbeiter müssen jeden einzelnen Verarbeitungsvorgang in der Verarbeitungsübersicht dokumentiert haben. Ihr solltet also in der Lage sein, genau nachzuvollziehen, wann wer den Widerspruch des Kunden aus welchem Grund und nach welcher Aktion entgegengenommen hat. Auch für künftige Werbeaktionen muss dokumentiert sein, bei wem seit wann ein Widerspruch vorliegt.
Wenn Ihr hier auch nur einen Dokumentationsfehler macht, nur einen Punkt übersehen habt, wird es wirklich teuer! Bei beabsichtigter oder unabsichtlicher Zuwiderhandlung zahlt Ihr bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt. Das kann Eure Existenz nicht nur bedrohen, sondern sogar vernichten.
Datenschutz-Grundverordnung (DSGVO) macht Analysen unabdingbar
Wir könnten den Faden noch weiterspinnen: Möchtet Ihr Daten verarbeiten, braucht es eine Einwilligungserklärung, die freiwillig, spezifisch und eindeutig abgegeben wurde. Konkrete Zweckangaben zur Datenverarbeitung sind Pflicht. Das spätere Nutzen dieser Daten für andere Zwecke ist ebenfalls strikter reguliert: Ihr müsst belegen können, dass ein weiterer Verwendungszweck mit dem ursprünglichen kompatibel ist.
Ihr sieht, es wird richtig kompliziert! Aufgrund dieser Komplexität und nicht zuletzt aufgrund der Tatsache, dass jedes Unternehmen in Europa ganz individuell ist, ist eine Informationssicherheitsanalyse fast schon Pflicht. Wo stehen Ihr aktuell und was müsst Ihr noch tun, um zum Start der DSGVO-Ära rechtssicher zu agieren?
Die ISA+ Informations-Sicherheits-Analyse
Als Mitglied & Partner des Bayerischen IT-Sicherheitscluster e. V. sind wir in der komfortablen Lage, Euch die ISA+ Informations-Sicherheits-Analyse anbieten zu können. ISA+ Informations-Sicherheits-Analyse wurde entwickelt und standardisiert, um Bedarfe bezüglich der Informationssicherheit in Unternehmen feststellen zu können.
Als akkreditierter ISA+ Informations-Sicherheits-Analyse – Berater können wir Stärken und Schwächen in Eurer IT-Infrastruktur gezielt identifizieren. Unsere Handlungsempfehlungen zeigen Euch anschließend auf, wie Ihr Eure Informationssicherheit steigern können. ISA+ Informations-Sicherheits-Analyse tangiert den Datenschutz und inkludiert zahlreiche datenschutzrelevante Punkte, die aufzeigen, inwieweit Ihr bereits fit für die Datenschutz-Ära seid.
Gemeinsam für Datenschutz und mehr Informationssicherheit im Unternehmen
Unser Ziel ist es, Euch Möglichkeiten an die Hand zu geben, Euren Workflow an die anstehende EU-Datenschutz-Grundverordnung auszurichten und Euch rechtssicher agieren zu lassen. Die Komplexität der EU-DSGVO verlangt nach Experten, die die Gesetze, aber auch Risiken und Chancen von Daten und Datenschutz kennen. So sind wir u. a. Netzwerkpartner des Bayerischen IT-Sicherheitsclusters e. V. Der Verein besteht aus Firmen der IT-Wirtschaft, Hochschulen, Forschungs- sowie Weiterbildungseinrichtungen, Juristen und Unternehmen, die Sicherheitstechnologien verwenden. Alle Mitglieder arbeiten zusammen an gemeinsamen Zielen in den Schwerpunktthemen IT-Sicherheit und Functional Safety.
Unser datenschutz-Konzept für Euch: Individuell und genau auf Euch zugeschnitten
Vertreter der PSW GROUP treffen sich beispielsweise mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), um Audit- und Zertifizierungskonzepte zur EU-DSGVO zu erarbeiten. Diese Konzepte gestalten wir aktiv mit, was uns unsere Erfahrung erlaubt. Schon seit über 15 Jahren beraten und begleiten wir Unternehmen aller Größen und Branchen in Sachen Datenschutz und IT-Security.
Weiter organisieren wir Vorträge, um Kompetenzen zu ballen und Ihnen Informationen zu liefern. So fand am 13.10.2016 unser zweiter Thementag zur DSGVO statt (Kleiner bericht dazu in unserem Facebook-Post). Zusammen mit der Kanzlei Muth & Partner ist es gelungen, technologische und rechtliche Aspekte der Datenschutz-Grundverordnung zu beleuchten und Unternehmern damit echte Hilfestellungen zu geben.
Das bleibt auch in Zukunft unser Anliegen: Zusammen mit unseren hochkarätigen Partnern beraten und schulen wir Unternehmen. Auch die praktische Begleitung auf den Weg in die EU-DSGVO-Rechtssicherheit übernehmen unsere zertifizierten Experten. Informationen dazu, wie Ihr zusammen mit uns immer eine Nasenlänge voraus sind, findet Ihr in unsrem Consulting-Bereich.