Datenschutz: Was ändert sich für Unternehmen?

Die Europäische Datenschutzgrundverordnung (DSGVO) gilt bereits ab dem 25. Mai 2018. Unternehmen bleibt damit nicht viel Zeit, um sich auf die höheren Anforderungen an die Datenverarbeitung, Dokumentation sowie ihre internen Prozesse einzustellen. Betroffen sind davon nicht nur große Versandhandelsunternehmen, Versicherungen und Social-Media-Anbieter, sondern alle Unternehmen, die regelmäßig personenbezogene Daten verarbeiten. Damit betreffen die neuen Regelungen nahezu alle Unternehmen, die in der EU aktiv sind. Jan-Dierk Schaal, Senior Manager bei KPMG Law, rät Unternehmen daher, erforderliche Maßnahmen frühzeitig umzusetzen.

Die DSGVO verfolgt das Ziel, die Grundsätze der Datenminimierung und Datensparsamkeit zu stärken. Hierfür erhöht sie die Anforderungen an die Transparenz der Datenverarbeitung und nimmt Unternehmen verstärkt in die Verantwortung. Regeln für die innerbetriebliche Organisation in datenverarbeitenden Unternehmen flankieren diesen Ansatz.

Zweckbindung soll Schutzniveau erhöhen
Die DSGVO legt fest, dass personenbezogene Daten nur zweckbestimmt erhoben und verarbeitet werden dürfen. Der Verantwortliche muss also bestimmen und dokumentieren, zu welchem Zweck er personenbezogene Daten erhebt. Soweit für die Rechtmäßigkeit der Erhebung eine Einwilligung notwendig ist, muss der Betroffene dezidiert über den Zweck der Datenverarbeitung aufgeklärt werden. Die Verarbeitung zu anderen Zwecken ist nur legitim, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Die Zweckbindung der Datenverarbeitung verbietet Unternehmen weitestgehend die heute praktizierte Ansammlung personenbezogener Daten ohne Anlass (Big Data). Ein Ausfluss dieser Prinzipien sind die neuen Regelungen „Data Privacy by Design“ und „Data Privacy by Default“: Neue Produkte und Instrumente, die personenbezogene Daten verarbeiten, dürfen diese Daten nur insoweit erheben, als dies für ihre Funktion zweckdienlich ist. Zudem müssen die Optionen der Datenverarbeitung derart voreingestellt werden, dass nur die für die Funktion notwendien Daten verarbeitetet werden. Weitere zweckdienliche, jedoch nicht erforderliche Daten, dürfen nur erhoben werden, wenn der Betroffene selbst die Einstellungen entsprechend ändert.

Risikobewertung und Dokumentationsanforderungen
Alle Datenverarbeitungstätigkeiten müssen in einem umfassenden Verfahrensverzeichnis dargestellt werden. Zwar sind Unternehmen unter 250 Mitarbeitern von dieser Vorschrift ausgenommen. Doch es gilt eine wesentliche Einschränkung zu beachten: Unternehmen, die nicht nur gelegentlich personenbezogene Daten verarbeiten, fallen unter diese Verpflichtung – und das unabhängig von ihrer Größe. In Zeiten der Digitalisierung betrifft das die meisten Unternehmen.

Im Rahmen einer ersten Risikobewertung haben die Verantwortlichen abzuschätzen, inwieweit die Datenverarbeitung Betroffenenrechte gefährdet. Ist ein hohes Risiko auf Grund der konkreten Datenverarbeitung absehbar, muss eine Datenschutz-Folgenabschätzung durchgeführt werden, bei welcher im Rahmen eines umfassenden Risk-Assessments die Risiken unter Berücksichtigung der ergriffen Maßnahmen zum Datenschutz ermittelt werden. Anders als bei Risk-Assessments, die gewöhnlich im Compliance-Bereich durchgeführt werden, richten sich diese Risikobewertungen nicht an den Unternehmenszielen aus, sondern haben sich an den Gewährleistungszielen der DSGVO zum Schutz der Betroffenenrechte zu orientieren, nämlich Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit.

Sollte durch technische und organisatorische Maßnahmen kein adäquates Schutzniveau erreicht werden, muss der Verantwortliche die Aufsichtsbehörden konsultieren. Er hat dabei mit geeigneten technischen Maßnahmen sicherzustellen, dass er den Aufsichtsbehörden auf Verlangen die Einhaltung der Verpflichtungen des DSGVO und die ergriffenen Maßnahmen zur Herstellung eines angemessenen Schutzniveaus nachweisen kann (so genannte Accountability), was zu einem erheblichen Dokumentationsaufwand in den Unternehmen führen wird.

Implementierung innerbetrieblicher Prozesse
Bereits nach der derzeitigen Rechtslage sind technische und organisatorische Maßnahmen zum Datenschutz und Datensicherheit zu ergreifen. Nach der DSGVO müssen Unternehmen sicherstellen, dass Mitarbeiter personenbezogene Daten nur auf Anweisung verarbeiten, und ihre internen Strukturen auf diese Anforderung ausrichten. Neben den bestehenden Schulungen der Mitarbeiter zum Datenschutz sind Berechtigungskonzepte zu überarbeiten und Datenschutzrichtlinien anzupassen.

Daneben stärkt die DSGVO die Betroffenenrechte auf Auskunft, Berichtigung und Löschung. Neu hinzu treten das Recht auf Vergessenwerden und auf Datenportabilität. Unternehmen müssen sicherstellen, dass sie unverzüglich und richtig reagieren können, wenn Betroffene ihre Rechte geltend machen. Dies erfordert die Implementierung entsprechender innerbetrieblicher Prozesse. Die Einführung eines Melde- und Reportingprozesses erfordert auch die Anforderung, Datenverluste den zuständigen Aufsichtsbehörden innerhalb von 72 Stunden zu melden und alle Fakten in Bezug auf den Vorfall zu dokumentieren. Diese (auszugsweise) dargelegten neuen Anforderungen stellen Unternehmen vor erhebliche Herausforderungen, weshalb sie bereits jetzt mit der Implementierung der erforderlichen Maßnahmen beginnen sollten.