Neue EU-Datenschutzgrundverordnung – was verändert sich?

Mit der Digitalisierung steigt die Masse an Daten, die Unternehmen erfassen, verarbeiten und speichern. Daran passt sich nun auch der Gesetzgeber an. Ab dem 25. Mai 2018 gilt europaweit eine neue Datenschutzgrundverordnung (DSGVO) und es kommen nun weitreichende Änderungen auf uns zu. Die neue Verordnung stellt viele Grundsätze des Datenschutzrechts nämlich ordentlich auf den Kopf.

Dabei sind es nicht die inhaltlichen Vorgaben beim Datenschutz, die sich in Deutschland stark verändern, sondern der Umgang mit den Daten. Noch wichtiger wird es ab nun sein, alle Prozesse, in denen die Daten eine Rolle spielen sprich das Erfassen, Ablegen, Speichern und Löschen zu dokumentieren und zugleich die Personen, deren Daten betroffen sind, über den Umgang damit aufzuklären.

Vor allem die hohen Bußgelder und zahlreiche offene Fragen bereiten vielen Organisationen jedoch große Kopfschmerzen. Während bisher für schwerwiegende Datenschutzverstöße ein Bußgeld von maximal 300.000 Euro verhängt werden konnte, drohen nun 20 Millionen Euro. Bei Großunternehmern kann das Bußgeld sogar bis zu 4 % vom weltweiten Jahresumsatz betragen.

Wenn auch die Wahrscheinlichkeit, von Bußgeldern betroffen zu sein, für kleinere Unternehmen nicht unbedingt steigt, ist das Risikopotenzial insgesamt ungleich höher. Es ist daher essentiell, dass sich neben den Großkonzernen auch kleine und mittlere Unternehmen mit den Auswirkungen des neuen Datenschutzrechts befassen.

Einige wichtige Punkte einer ganzen Reihe von Compliance-Vorgaben wollen wir Ihnen nun im Folgenden kurz aufführen:

Datenschutzinformation

Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Das neue Recht geht in doppelter Hinsicht darüber hinaus. Zum einen gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Denn auch wer offline Daten erhebt, etwa in einem Kundengespräch, muss über die Verarbeitung der Daten informieren.

Nachweispflicht wirksamer Datenschutzrichtlinien

Unternehmen müssen wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Prozessen, Kontrollen und Change Management wird notwendig.

Die Rechenschaftspflicht (Accountability-Prinzip) besagt: Unternehmen müssen die Grundsätze wie Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Löschung, Integrität und Vertraulichkeit belegbar nachweisen. Des Weiteren müssen Unternehmen betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder.

Meldepflichten bei Datenpannen

Deutlich ausgeweitet werden die Pflichten zur Meldung von Datenpannen. Während eine Meldung bisher nur im Ausnahmefall erforderlich ist, muss nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Behörde – unter Umständen auch den Betroffenen – gemeldet werden. Aus dieser Pflicht folgt letztlich die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift.

Bestellung eines Datenschutzbeauftragten

Das neue Datenschutzrecht sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Unternehmen mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach Mai 2018 viele deutsche Unternehmen einen Datenschutzbeauftragten bestellen müssen.

Da auch die Sekretariate der Unternehmen mit vielen sensiblen Daten im Umgang sind, möchten wir zudem auf folgende personalrechtlichen Themen hinweisen, die unerlässlich werden im Rahmen der DSGVO:

1. Arbeitgeber müssen Beschäftigte und Bewerber umfassend darüber informieren, warum sie persönliche Daten speichern und über Widerrufsrechte aufklären. Die Nutzer müssen dies transparent nachvollziehen können und sich mit der Verarbeitung ihrer Daten einverstanden erklären.
2. Personalabteilungen müssen Bewerbungsunterlagen spätestens zwei Monate nach abgelehnter Bewerbung löschen oder zurückgeben. Dazu gehört auch das Bewerberanschreiben.
3. Wer Personaldaten vom Tochter- an das Mutterunternehmen weitergeben möchte, muss dies rechtfertigen können. Etwa weil die Personalverwaltung zentral organisiert ist und es einen Vertrag zur Auftragsdatenverarbeitung zwischen den einzelnen Konzernteilen gibt.
4. Den betrieblichen E-Mail-Account auch privat zu nutzen, bleibt rechtlich problematisch. Erlaubt der Arbeitgeber die private Nutzung, dann dürfen die E-Mails des Mitarbeiters auch im Krankheitsfall oder bei Ausscheiden des Mitarbeiters nicht weitergeleitet werden. Der Arbeitgeber darf das betriebliche E-Mail-Postfach auch in diesen Fällen nicht einsehen. Es gelten die Regelungen des Fernmeldegesetzes.
5. Personalakten in Papierform dürfen Personaler nur in gesicherten Schränken aufbewahren. Auch digital müssen alle sensiblen Unterlagen in einem geschützten Bereich gespeichert sein, mit abgestuften Zugangsmöglichkeiten für die Personalverantwortlichen. Ein Protokoll sollte nachvollziehbar zeigen, wann wer welche Akten eingesehen hat.

Ist auch Ihr Unternehmen bereits gut auf die neue Datenschutzverordnung vorbereitet? Haben Sie alle wichtigen Neuerungen eingeplant und alle relevanten Abteilungen darauf vorbereitet?

Diese Vorbereitungen zur Datenschutzgrundverordnung sollten Sie unbedingt treffen:

• Welche Systeme sind von der neuen Gesetzgebung betroffen?
• Prüfung des bestehendes Datenschutzmanagement-Systems auf Gesetzeskonformität
• Risiko-Analyse durchführen: Welche Risiken und Gefährdungen drohen?
• Ressourcen Management: Interne Verfügbarkeiten prüfen und bei Bedarf rechtzeitig externe Unterstützung an Bord holen.
• Plan zur Transformation auf die Datenschutz-Grundverordnung erstellen.
• Überlegen, wie und mit welchen Mitteln die umfassenden Rechenschafts- und Dokumentationspflichten zukünftig gewährleistet werden können.
• Umsetzungskosten ins Budget aufnehmen.

Auch aus der Rolle der Assistenz oder des Office Managers heraus können Sie Ihren Beitrag leisten. Seien Sie aktiver Treiber in Ihrem Unternehmen und werden Sie zum geschätzten Experten und Sparringspartner Ihrer Stakeholder.

Fazit

Die EU Datenschutzgrundverordnung bringt Veränderungen und ist für jedes Unternehmen mit erheblichem Aufwand und Kosten verbunden. Die hohen Anforderungen stellen eine Herausforderung für viele dar, sie können jedoch auch eine Chance sein, um das eigene Datenmanagement zu optimieren.

Viel Zeit bleibt dafür nicht mehr. Der Countdown läuft, denn obwohl das Datum schon lange feststeht, sind viele Unternehmen noch immer nicht auf die neuen Sicherheitsanforderungen vorbereitet. Häufig fehlen die personellen Ressourcen und das Know-how, um den Datenschutz bis Mai 2018 auf das erforderliche Niveau zu bringen. Wer sich jedoch an die Regelungen des BDSG gehalten hat, dürfte zumindest gut für die Änderungen durch das DSGVO gerüstet sein.

Was tun wir?

Diligent verfolgt bereits viele verschiedene Strategien zum Datenschutz. Wir ergreifen eine Reihe von Maßnahmen, darunter die Bestellung eines Datenschutzbeauftragten, die Überprüfung und Änderung bestehender Lieferantenverträge, die Erstellung interner Aufzeichnungen zur Datenverarbeitung und die Aktualisierung unserer Datenschutzerklärung. Daher geben wir Ihnen schon jetzt unser Wort, dass wir auch alle neuen Anforderungen erfüllen und unsere Datensicherheit auf gewohnt hohem Standard erheben werden. Wir beschäftigen uns intensiv mit der neuen EU-Verordnung und werden unsere Angebote und Produkte noch transparenter für unsere Kunden gestalten.