Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar auf alle Unternehmen innerhalb der Europäischen Union (EU) anzuwenden. Im Vergleich zum bisherigen Standard des deutschen Bundesdatenschutzgesetzes (BDSG) werden die Anforderungen an den betrieblichen Datenschutz und die damit verbundene Haftung des verantwortlichen Unternehmens und dessen Geschäftsführung erheblich gesteigert. Die 99 Artikel und 173 Erwägungsgründe der DSGVO werden durch 85 Paragrafen des neuen BDSG teilweise ergänzt. Unternehmen, die sich dieser Herausforderung stellen, werden jedoch mit einer gesetzlich zugesicherten Haftungserleichterung belohnt.

Der EU-Gesetzgeber zielt mit der DSGVO unmittelbar auf die Geschäftsführung der Unternehmen ab. Unternehmen und Geschäftsführung werden als sog. Verantwortliche in die Pflicht zur Umsetzung der DSGVO genommen. Insoweit ist eine zweijährige Übergangszeit vorgesehen, die am 25. Mai dieses Jahres endet. Ab diesem Zeitpunkt gilt die DSGVO unmittelbar in jedem einzelnen Betrieb der Europäischen Union. Es ist daher dringend angeraten, die verbleibende Zeit auf die Schaffung eines entsprechenden Datenschutzstandards im Unternehmen zu verwenden. Im ersten Schritt sind die datenschutzrechtlichen Verantwortlichkeiten innerhalb des Unternehmens zu regeln. Eine der Größe des Unternehmens angepasste Datenschutzorganisation mit ausreichenden Ressourcen kann nur von der Führungsetage eingesetzt werden. Klare schriftliche Bekenntnisse zum Datenschutz gegenüber Mitarbeitern und Kunden zeigen der zuständigen Datenschutzbehörde, wie stark das Bewusstsein im Umgang mit personenbezogenen Daten ausgeprägt ist.

Schutz des Persönlichkeitsrechts

Die DSGVO schützt personenbezogene Daten als Ausfluss des sog. Persönlichkeitsrechts, das bereits aus dem Grundgesetz heraus als eines der obersten Güter zu schützen ist. Hier zieht die DSGVO nach, indem sie sogar ein Grundrecht auf Schutz der personenbezogenen Daten postuliert. Die personenbezogenen Daten der Mitarbeiter und Kunden gehören daher auch nicht dem Unternehmen, sondern werden von diesem lediglich zur Erfüllung geschäftlicher Zwecke genutzt. Die überlassenen Daten sind daher umfassend durch das Unternehmen zu schützen. Folgerichtig wird ein Verlust dieser Daten auch konsequent geahndet. Dabei ist der Begriff der personenbezogenen Daten kraft gesetzlicher Definition sehr weit gefasst. Erfasst sind alle Informationen mit denen eine Person identifiziert werden kann. Der Schutz des Persönlichkeitsrechts durch die DSGVO endet dabei auch nicht an den Grenzen der EU. Wollen Unternehmen mit Sitz außerhalb der EU ihre Dienstleitungen EU-Bürgern anbieten, so müssen sie sich ebenfalls an die DSGVO halten.

Sanktionen und Haftung

Die Verletzung des Persönlichkeitsrechts durch Nicht-Einhaltung der DSGVO-Vorgaben zieht künftig empfindliche Konsequenzen nach sich. Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes pro Datenschutzverstoß können einzelne Betriebe empfindlich treffen. Innerhalb eines Konzernverbundes ist sogar der Konzernjahresumsatz heranzuziehen, der schnell zu Bußgeldern in Millionenhöhe führen kann. Hinzukommen Schadenersatzansprüche der Betroffenen und ggf. Ermittlungen der Staatsanwaltschaft bei vorsätzlichem Handeln (z. B. unerlaubtem Lesen von E-Mails u. ä. nach §§ 201 ff. StGB). Aus dem jüngsten Datenskandal von Facebook sind zudem zwei Erkenntnisse zu gewinnen: Zum einen, dass Unternehmen jeglicher Größe von Ahndungen betroffen sein können; zum anderen, dass Reputationsschäden nicht selten ein zusätzliches und nicht abzuschätzendes Risiko darstellen können. Reputationsschäden sind insoweit kaum kalkulierbar und noch schwerer zu beheben. In die Haftung werden in all diesen Punkten sowohl das Unternehmen als auch die Geschäftsführung genommen.

Behördenprüfung und Aufdeckungsrisiko

Bereits seit geraumer Zeit ermitteln die Datenschutzbehörden den Umsetzungsstand in den Unternehmen mittels entsprechender Fragebögen (z. B. sog. „Halbzeit“-Fragebogen des LDA Bayern; vgl. Infografik). Gleichzeitig bereiten sich die Behörden auf die Überprüfung einzelner Datenschutzpflichten vor. So werden bspw. abgelehnte Bewerber angeworben, um Auskunftsansprüche gegen Unternehmen ab Mai geltend zu machen. Dem Risiko bezüglich der Aufdeckung der Datenschutzverletzungen durch die Behörden ist aber insgesamt weniger Beachtung zu schenken, als dem Aufdeckungsrisiko durch die Betroffenen selbst und durch die Wettbewerber. Ein unehrenhaft ausgeschiedener Mitarbeiter hat häufig unangenehme Informationen über Missstände im Datenschutz, die er im Rahmen seines Beschwerderechts an die zuständige Datenschutzbehörde melden kann. Gleichzeitig wird das Datenschutzniveau innerhalb der Lieferketten künftig ebenso vertraglich verpflichtend zu regeln sein, wie dies heute bereits bei der Einhaltung von Compliance der Fall ist. Darüber hinaus hat der EU-Gesetzgeber eine Selbstanzeigepflicht der Unternehmen für den Fall von Datenschutzverstößen verankert. Der neue Datenschutz wird dadurch flächendeckend zur Geltung kommen.

Rechenschaftspflicht und Datenschutz-Management-System

Mit der DSGVO wird die sog. Rechenschaftspflicht eingeführt. Damit muss künftig das Unternehmen und dessen Geschäftsführung den Nachweis führen, die Vorgaben der DSGVO ordnungsgemäß und rechtmäßig umgesetzt zu haben. Die Behörde wird damit ihrer Pflicht zum Nachweis eines Verstoßes entledigt. Bereits die fehlende Möglichkeit des Unternehmens, die Einhaltung der DSGVO nachweisen zu können, stellt einen Verstoß dar. Insoweit trifft die Unternehmen ab Mai 2018 eine erhebliche Dokumentationsaufgabe, die wesentlichen Aspekten eines Compliance-Systems entspricht. Der EU-Gesetzgeber will die Unternehmen damit zur Einführung eines sog. Datenschutz-Management-Systems (DMS) verpflichten. Nur durch ein solches DMS können die Anforderungen der DSGVO erfüllt werden. Die DSGVO erwartet einen risikobasierten Datenschutzansatz. Es sollen die hohen Datenschutzrisiken durch geeignete technische und organisatorische minimiert werden. Dies sind auf Basis einer Risikoanalyse entsprechend festzulegen. Mit der Implementierung eines wirksamen DMS verspricht die DSGVO eine gesetzlich verpflichtende Reduzierung der Haftung.

Datenschutzbeauftragter – Pflicht statt Kür

Derzeit wird auf Grundlage der DSGVO häufig diskutiert, ob die Bestellung eines Datenschutzbeauftragten (DSB) nicht obsolet wäre. Dabei wird übersehen, dass der deutsche Gesetzgeber hier die Anforderungen klar verschärft hat: Eine Bestellpflicht besteht, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung beschäftigt sind (§ 38 BDSG neu). Gemeint sind damit sämtliche PC-Arbeitsplätze, Smartphones, u. ä. Unabhängig davon muss sich eine fachkundige und erfahrene Person um die Umsetzung der DSGVO im Unternehmen kümmern.