Ist Ihr Unternehmen bereit für die europäische Datenschutzgrundverordnung
Sind sie vorbereitet?
Das EU-Parlament hat am 14. April 2016 die europäische Datenschutzgrundverordnung (DSGVO) verabschiedet. Nach einer Übergangsfrist von zwei Jahren tritt diese Verordnung nun am 25. Mai 2018 in Kraft. Das bedeutet, Ende Mai 2018 endet die Schonfrist für Unternehmen. Sie ersetzt nicht das Bundesdatenschutzgesetz (BDSG), es herrscht aber Anwendungsvorrang zu Gunsten der DSGVO. Die DSGVO legt einheitliche Datenschutzregelungen für alle EU-Mitgliedsstaaten fest. Schon alleine die nach der DSGVO drastisch erhöhten Bußgelder bei datenschutzrechtlichen Verstößen machen es für Unternehmen, Handwerker, Ärzte, Makler und allen anderen, die personenbezogene Daten verarbeiten, notwendig, sich mit den neuen Vorgaben auseinanderzusetzen. Denn nach der neuen Verordnung können Bußgelder von bis zu 20 Millionen Euro, bzw. 4 % des Unternehmensumsatzes, verhängt werden. Das ist eine deutliche Verschärfung gegenüber den drohenden Bußgeldern nach dem BDSG, das dafür eine Höchstgrenze von 300.000 Euro vorsah.
Wenn Sie jetzt denken, die DSGVO geht Sie nichts an, wird es Zeit, mit ein paar verbreiteten Irrtümern aufzuräumen:
Irrtum 1: Da ich kein großes Unternehmen habe, bin ich sowieso nicht betroffen.
Die DSGVO unterscheidet bis auf sehr wenige Ausnahmen grundsätzlich nicht nach der Unternehmensgröße. Sie gilt unmittelbar für Unternehmen jeglicher Größe. Gerade Einzelunternehmer oder kleinere Unternehmen mit weniger als zehn Angestellten, der Betriebsgröße, ab der nach dem BSDG ein Datenschutzbeauftragter benannt werden muss, glauben häufig, dass die Datenschutzgrundverordnung sie nicht betrifft. In Artikel 30 DSGVO steht zwar, dass die Pflichten nur für Unternehmen oder Einrichtungen gelten, die mehr als 250 Mitarbeiter beschäftigen. Wer sich aber damit in Sicherheit wähnt, liegt leider falsch. Der Artikel 30 beinhaltet so viele Ausnahmen, dass er sich beinahe selbst aufhebt. Die Regelung gilt nur, wenn die Verarbeitung von Daten nur gelegentlich erfolgt. Das ist aber bei den meisten Unternehmen nicht der Fall. Jede dauerhafte Verarbeitung von Daten muss in einem Verzeichnis der Verarbeitungstätigkeiten festgehalten werden. Dazu zählt jegliche Art von Kunden- und Personalmanagement und natürlich auch die Buchhaltung! Die Ausnahme zur gelegentlichen Datenverarbeitung gilt auch nicht, wenn sensible Daten gespeichert werden. Abgesehen davon, dass es sicher zu Streitigkeiten darüber kommen wird, wie „gelegentlich“ und „sensibel“ in diesem Zusammenhang auszulegen sind, bedeutet die Regelung nichts anderes, als dass jeder, der auf irgendeine Weise persönliche Daten verarbeitet, ein Verzeichnis der Verarbeitungstätigkeiten führen muss. Oft wird angenommen, dass man keine personenbezogenen Daten verarbeitet. In der heutigen Zeit ist es allerdings schwer vorstellbar, dass es überhaupt noch eine Tätigkeit gibt, bei der keine solchen Daten anfallen. Spätestens wenn Sie eine Kundenrechnung nicht mehr per Hand oder Schreibmaschine schreiben, verarbeiten und speichern Sie personenbezogene Daten. Wenn Sie Angestellte haben, egal ob geringfügig- oder vollzeitbeschäftig, speichern Sie sogar besonders sensible personenbezogene Daten. Es werden hier neben Namen und Anschrift auch das Geschlecht, der Familienstand und die Religionszugehörigkeit gespeichert. So sind grundsätzlich erst mal nahezu alle Unternehmen und Unternehmer von der DSGVO betroffen. Die DSGVO unterscheidet nicht zwischen Kunden, Geschäftspartnern und Arbeitnehmern!
Künftig kann daher jeder Kunde, Angestellte oder Geschäftspartner seine Datenschutzrechte geltend machen und auf sein Recht auf Auskunft pochen, um zu erfahren, welche Daten Sie von ihm speichern und verarbeiten. Alle Unternehmen müssen innerhalb von vier Wochen diese Anfragen vollumfänglich beantworten.
Befreien Sie sich also von dem Gedanken, dass Sie nicht betroffen sind! Informieren Sie sich umfassend und prüfen Sie konkret:
Prüfen Sie, ob Sie eine Datenschutz-Folgeabschätzung durchführen müssen.
Erstellen Sie aber unbedingt ein Verzeichnis aller Verarbeitungstätigkeiten.
Irrtum 2: Die Gesetze der einzelnen Länder müssen erst noch verhandelt werden, der Stichtag 25. Mai 2018 ist daher nicht von Bedeutung.
Tatsächlich wurden in der Vergangenheit im EU-Parlament oftmals nur Empfehlungen und Richtlinien verabschiedet, die dann innerhalb einer Frist in Landesgesetze umgesetzt wurden. Bei der DSGVO ist das diesmal anders. Die DSGVO ist eine Verordnung und gilt somit direkt und unmittelbar. Auf europäischer Ebene ist das eine besondere Ausnahme. Hier schafft der europäische Gesetzgeber eine tatsächliche Einheitlichkeit zwischen den einzelnen Mitgliedsstaaten. Der 25. Mai 2018 ist nicht der Stichtag des Inkrafttretens der DSGVO, sondern er definiert das Ende der Schonfrist! Ab diesem Tag wird keine „Gnade“ mehr gewährt. Handeln Sie also noch heute und informieren Sie sich umfassend, bevor Sie sich im Juni 2018 mit ersten Anfragen von Betroffenen konfrontiert sehen und dann nicht wissen, wie Sie darauf reagieren müssen und können. Wer erst dann anfängt, sein Unternehmen mit dem neuen EU-Datenschutzrecht in Einklang zu bringen, gerät in echte Schwierigkeiten. Eine Frist von vier Wochen zur Beantwortung einer Anfrage klingt nach viel Zeit. Wenn Sie aber erst dann reagieren, wird Ihnen die Zeit definitiv zu knapp. Ihr Unternehmen an die geforderten Richtlinien anzupassen ist keine Frage von Stunden, eher von Tagen oder Wochen.
Irrtum 3: Das Bundesdatenschutzgesetz ist sowieso schon sehr streng, daher ändert sich nichts für mich.
Deutschland gehört im Bereich Datenschutz weltweit zu den Vorreitern und stellt in vielen Bereichen sehr hohe Anforderungen an Unternehmen. Die DSGVO verflogt aber ein anderes Ziel: Sie soll nicht nur in allen EU-Mitgliedsstaaten den Datenschutz verbessern, sondern sie soll ihn vor allem vereinheitlichen. Teilweise werden damit Regelungen, die vorher sehr streng waren, nicht mehr so streng sein. Auf der anderen Seite kommen neue Regelungen hinzu, die stellenweise viel strenger oder gänzlich neu sind.
Zwei Beispiele:
1. Die Rechte der Betroffenen. Die Anfrage eines Betroffenen zur Auskunft darüber, welche Daten Sie von ihm gespeichert haben und wie Sie diese verarbeiten, schützen oder ggf. weitergeben, muss innerhalb von vier Wochen beantwortet werden. Bisher wurden Fristen deutlich weniger restriktiv gehandhabt, als es ab dem 25. Mai 2018 der Fall sein wird. Wenn Sie die Frist nicht einhalten, kann es zu einer Anzeige beim Landesdatenschutzbeauftragten kommen. Der Landesdatenschutzbeauftragte ist zukünftig verpflichtet, dieser Anzeige nachzukommen. Auch ist jeder Betroffene berechtigt, sich an eine Verbraucherschutzzentrale zu wenden. Diese haben ab dem Stichtag im Mai ausdrücklich das Recht, den Betroffenen vor Gericht zu vertreten und die Auskunft einzuklagen. Es steht sicher außer Frage, wer die Kosten für das Verfahren übernehmen muss.
2. Die Übertragbarkeit der Daten. In der DSGVO ist festgelegt, dass Sie die Daten Ihres Kunden/Patienten/Mandanten ihm auf dessen Verlangen hin innerhalb der Vierwochenfrist in einer maschinell lesbaren Form, etwa einer Excel-Tabelle oder Schnittstellendatei, zur Verfügung stellen müssen, so dass dieser seine Daten weitergeben kann. Auch Ärzte, Steuerberater und Rechtsanwälte werden damit konfrontiert werden. Neben der Verfügbarmachung kommt hinzu, dass diese Daten selbstverständlich gesichert übertragen werden müssen und das auf Aufforderung sogar direkt zu Ihrem Konkurrenten. Schicken Sie die Daten ungesichert, verstoßen Sie grob gegen den Datenschutz. Die Übertragbarkeit kann natürlich auch für Sie ein Vorteil sein, wenn Sie derjenige sind, der die Daten übertragen bekommt. Stellen Sie sich darauf ein, dass hier künftig vermehrt Anfragen erfolgen. Ihre EDV-Systeme werden vermutlich über irgendeine Art von Datenexport verfügen. Häufig jedoch sind die betroffenen Daten über unterschiedliche Systeme verteilt. So muss ein Arzt beispielsweise den Personenstammsatz, die Behandlungsprotokolle, ggf. Kopien von Röntgenaufnahmen, Befunde, Korrespondenz und sämtliche Rechnungen (sofern vorhanden) zur Verfügung stellen. Der erste Schritt muss daher die Bestandsaufnahme sein, in welchen EDV-Systemen die Daten überhaupt liegen. Einen einigermaßen vernünftigen Ablauf festzulegen, um die Daten dann auch bereitstellen zu können, wird für alle, die das Thema bisher noch nicht angegangen haben, die vordringliche Aufgabe bis Mai 2018 sein. Wenn Sie erst bei einer konkreten Anfrage damit beginnen, die Datenstrukturen zu sichten und Möglichkeiten des Datenexports zu schaffen, werden Sie die Fristen vermutlich nicht halten können, oder Sie sind gezwungen, erhebliche Kapazitäten zu binden, die mit nicht unerheblichen Kosten verbunden sein dürften. Prüfen Sie also rechtzeitig zusammen mit Ihrer IT oder Ihrem Softwareanbieter, wie Sie u.a. die Vorgaben zum Datentransfer erfüllen können.
Irrtum 4: Jemand wird mich schon rechtzeitig darüber informieren, was ich tun muss.
Ehrlich, wer soll Sie denn informieren? Wen sehen Sie denn hier in der Pflicht?
Die Gesetze wurden bereits 2016(!) verabschiedet und es gilt jetzt, diese anzuwenden. Der Landesdatenschutzbeauftragte wird daher ab Ende Mai 2018 die Einhaltung überprüfen und wird mit Sicherheit nicht noch vorher für Sie eine Infoveranstaltung durchführen. Sie sind kein Verbraucher! Sie sind Teilnehmer am Wirtschaftsverkehr und haben die Pflicht, sich selber umfassend zu informieren und vor allem das Gesetz einzuhalten. Es gilt auch hier: “Unwissenheit schützt vor Strafe nicht.” Natürlich werden viele Veranstaltungen zu dem Thema angeboten, aber Sie haben die Verpflichtung, diese auch zu besuchen oder sich auf anderen Wegen zu informieren.
Allein am Informieren wird es aber nicht liegen. Sie müssen die neuen Vorgaben auch umsetzen und anfangen, in Ihrem Unternehmen zu prüfen, welche Abläufe Sie verbessern, verändern oder einführen müssen. Beginnen Sie bitte sofort genau zu dokumentieren und alle Ihre Abläufe in einem Verfahrensverzeichnis festzuhalten.
Irrtum 5: Bisher ist auch nie was passiert und wo kein Kläger ist, ist auch kein Richter.
Diese Einstellung ist das Spiel mit dem Feuer! Gerade die Betroffenen, deren Daten Sie gespeichert haben, oder auch Ihre Mitbewerber, können ein besonderes Interesse daran haben, einmal bei Ihnen anzufragen, bzw. anfragen zu lassen.
Es ist ab dem 25. Mai 2018 sehr leicht, ins Visier zu geraten. Eine kurze E-Mail an Ihren zuständigen Landesdatenschutzbeauftragten oder an die Verbraucherschutzverbände genügt, und diese müssen tätig werden.
Als Betroffener ist es sehr einfach, sich bei:
- Versäumnis der Frist zur Beantwortung einer Anfrage
- ignorieren der Anfrage
- Nichtmitteilung der Daten
- Verweigerung oder Unmöglichkeit der Datenherausgabe
an einen Verbraucherschutzverband zu wenden, damit dieser tätig wird und sich in Vertretung an Ihr Unternehmen wendet. Wer die Kosten dafür zu tragen hat, dürfte klar sein.
Der einzig wirkungsvolle Weg sich gegen Strafen zu schützen, ist sich vorzubereiten.
Fazit
Die DSGVO hat mit Ihren Vorgaben und Richtlinien unbestritten das Potential, Sie Zeit, Geld und Nerven zu kosten. Mit überschaubarem Aufwand und Planung können Sie sich viel Ärger ersparen. Holen Sie sich im Zweifelsfall Hilfe und bereiten Sie sich auf die neue Gesetzgebung vor. Prüfen Sie genau, welche personenbezogenen Daten Sie erfassen und wie Sie sie verarbeiten, speichern und schützen. Stellen Sie sicher, dass Sie diese Daten schnell und unkompliziert zur Verfügung stellen können.
Prüfen und erstellen Sie daher zumindest:
- Verzeichnis von Verarbeitungstätigkeiten: Übersicht über alle personenbezogene Daten, die verarbeitet oder gespeichert werden. Auch Kleinunternehmer müssen jede dauerhafte Datenverarbeitung festhalten!
- Datenschutz-Folgenabschätzung: Bei kritischen Fällen der Datenspeicherung vorher abschätzen, ob diese zulässig ist. Für die Folgenabschätzung ist nicht mehr der Datenschutzbeauftragte zuständig, sondern das Unternehmen selbstDie Zustimmung zur Datenerhebung und -verarbeitung („Datenschutzerklärung) bedarf nicht mehr der Schriftform. Eine mündliche Zustimmung, selbst ein Abnicken, gilt als Zustimmung. Allerdings ist der Datenverarbeitende in der Beweispflicht, aufgeklärt und die Zustimmung erhalten zu haben. Da es in der Praxis nahezu unmöglich ist, einen unabhängigen Zeugen dafür zu haben, bleibt letztlich doch nur wieder die Schriftform.
Wie Cicero bereits vor über 2.000 Jahren sagte: „Si vis pacem para bellum; Wenn du den Frieden willst, bereite den Krieg vor“.
Weitere Informationen im Internet:
Überblick über die Neuerungen in der DSGVO mit Checkliste bei IHK Frankfurt/Main:
https://www.frankfurt-main.ihk.de/recht/themen/datenschutzrecht/ds-gvo_neuerungen/index.html
Gesetzestext der DSGVO:
Wikipedia:
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
Zusammengestellt durch System-Consulting Kollien, Bruckmühl