Kurz vor Inkrafttreten der neuen EU-Datenschutzgrundverordnung (DSGVO) sind viele Unternehmen schlecht vorbereitet auf die deutlich schärferen Vorschriften, die ab dem 25. Mai 2018 in Kraft sind. Der Informatiker Pascal Reinheimer, Chef des Darmstädter EDV-Unternehmens reinheimer systemloesungen: „Nach einer im März 2018 durchgeführten Umfrage haben nur 13 Prozent der befragten Unternehmen ihre Prozesse bereits den neuen DSGVO-Richtlinien angepasst. Die vorgesehenen Strafen bei Verstößen sind drakonisch und können für Betriebe vom kleinen Handwerker über KMU bis hin zu großen Mittelständlern existenzbedrohende Ausmaße annehmen.“ Natürlich kann und wird sich ein Systemhaus nicht zur komplexen neuen Rechtslage im Zuge der DSGVO äußern. „Doch wir sind“, so Pascal Reinheimer, mit Fachjuristen und auch externen Datenschutzbeauftragten vernetzt.
Pascal Reinheimer, Geschäftsführer des im Großraum Frankfurt tätigen Systemhauses reinheimer systemloesungen: „Herr Rechtsanwalt, wer ist von den verschärften Vorschriften der neuen EU-Datenschutzgrundverordnung betroffen?“
Stephan Stiletto, Medienjurist: „Grundsätzlich alle Unternehmen – vom kleinen Handwerksbetrieb bis zum Konzern. Auch Vereine können zum Ziel einer Überprüfung ihres Umgangs mit personenbezogenen Daten werden. In Frage kommt hier im Prinzip jeder, der personenbezogene Daten über Personen erfasst, verarbeitet und nutzt, die in der Europäischen Union ansässig sind. Und zwar unabhängig davon, ob er entgeltlich oder unentgeltlich arbeitet. Zur Vorsicht mahnen auch die neuen Bußgelder, die im Zuge der DSGVO auf uns zukommen. Lag die maximale Bußgeldhöhe nach § 43 BDSG noch bei 300 000 Euro pro Fall, so kann sie nach der neuen EU-Datenschutzgrundverordnung nun bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes betragen. Zum Spektrum der Sanktionen kann auch ein zeitweises oder generelles Verbot der elektronischen Datenverarbeitung gehören.“
Pascal Reinheimer: Die Kunden unserer Darmstädter EDV-Firma sind in den seltensten Fällen Juristen. Was sind denn juristisch betrachtet personenbezogene Daten, die von der DSGVO erfasst werden – und welche neuen Pflichten kommen auf meine Kundschaft im Großraum Rhein-Main zu?
Rechtsanwalt Stiletto, Köln: „Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das gilt auch dann bereits, wenn eine Firma oder Organisation nur Teildaten hinterlegt hat, die diese Person theoretisch identifizierbar machen – also beispielsweise Geburtsdatum und Alter sowie der Geburtsort, der Name, die Anschrift, die Telefonnummer oder die E-Mail-Adresse. Kirchenzugehörigkeit, Kontoinformationen und Bestellverlauf sind weitere Daten, die von der neuen EU-Datenschutzgrundverordnung erfasst werden.
Die gewachsenen Vorgaben im Vergleich zur Vorgängerregelung, dem Bundesdatenschutzgesetz, kann man hier nur ausschnittsweise ansprechen – nehmen wir den Artikel 13 Abs. 1 DSGVO: Er regelt – ich zitiere – die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person. Danach ist jeder, der personenbezogene Daten erhebt, verarbeitet und speichert, verpflichtet, Betroffene über das zu informieren, was von ihren persönlichen Daten an Dritte – zum Beispiel Dienstleister und Abrechnungsstellen weitergegeben worden ist. Nicht mehr gebrauchte Daten sind grundsätzlich zu löschen. Im Einzelfall kann es schwierig sein zu scheiden, welche gesetzlichen oder sonstigen Aufbewahrungspflichten und -rechte bestehen, und wann die Daten zu löschen sind.
Wichtig unter Aspekten der IT-Systemadministration: Digitale Anwendungen und Geräte müssen laut DSGVO von vornherein datenschutzfreundlich eingestellt werden. Art. 35 DSGVO führt zudem unter bestimmten Umständen die Pflicht zu einer Datenschutz-Folgenabschätzung ein.
Zudem müssen Unternehmens- oder Organisationsverantwortliche laut Artikel 25 DSGVO geeignete technische und organisatorische Maßnahmen – wie zum Beispiel Pseudonymisierung – treffen, um Datensicherheit und Datenschutz sicherzustellen.
Neu ist bei Unternehmen mit mehr als 250 Mitarbeitern auch die Pflicht, ein „Verzeichnis der Verarbeitungstätigkeiten“ anzulegen, in dem alle Datenverarbeitungsvorgänge nachvollziehbar dokumentiert sind.
Pascal Reinheimer: „Für die Kunden unseres Darmstädter Systemhauses möchte ich sie fragen, wie Verstöße gegen die DSGVO denn auffallen?
Wirtschaftsanwalt Stephan Stiletto: „Die Aufsichtsbehörden – zuständig sind hier der Bundesbeauftragte für Datenschutz sowie die jeweiligen Landesdatenschutzbeauftragten – werden den Umgang mit Daten in Betrieben und Organisationen aktiv prüfen. Und was Internetseiten angeht: Hier liegen eventuelle Verstöße gegen die DSGVO ja für jeden offen – und Seitenbetreibern drohen teure Abmahnungen in großer Zahl. Mögliche Absender sind Abmahnvereine, Verbraucherschützer oder Konkurrenten. Potenziell betroffen ist fast jedes Unternehmen, jede Organisation, Praxis oder Kanzlei, die auf ihrer Webseite mit einem Kontaktformular oder Analyse-Tools wie Google-Analytics arbeitet. Auch wer auf seinem Internetauftritt mit Social-Media-Plug-ins arbeitet, die beispielsweise zu Twitter oder Facebook verweisen, kann ins Visier der Datenschützer und Abmahner geraten. Weitere Risiken bestehen durch unzufriedene Mitarbeiter, die den Aufsichtsbehörden Verstöße melden. Die individuelle Risikolage und insbesondere die Inhalte der Unternehmenswebseite, die zum Beispiel Abmahnvereine ohne jede Insider-Kenntnis auf eventuelle Verstöße gegen die DSGVO prüfen können, sollte man durch einen darauf spezialisierten Juristen abklären lassen.
Mehr zum Thema:
Unternehmensumfrage (März 2018) zum Stand der Umsetzung der DSGVO (Zusammenfassung). Befragt wurden Marketingverantwortliche in 606 deutschen Unternehmen. Link: https://www.heise.de/ix/meldung/EU-DSGVO-Deutsche-Unternehmen-schlecht-vorbereitet-4027887.html
DSGVO aus der Sicht eines EDV-Administrators: Die neue Datenschutz-Grundverordnung aus Sicht eines Systemadministrators
