Im Mai 2016 wurde die Europäische Datenschutz-Grundverordnung (DS-GVO) verabschiedet. Zwei Jahre später, nämlich im Mai 2018, wird sie geltendes Recht. Die Vorteile für grenzüberschreitend tätige Unternehmen, die nun EU-weit mit (immerhin weitgehend) identischen Datenschutzanforderungen konfrontiert werden, müssen allerdings durch diverse Änderungen der bisherigen Rechtslage und zusätzlich zu erfüllende Aufgaben erkauft werden.

I. Drastische Bußgelder

Bevor auf die inhaltlichen Neuerungen eingegangen wird, sollte man deren Relevanz mit den neu eingeführten Bußgeldern verdeutlichen: Während Datenschutz bisher fraglos bereits in vielen Bereichen reglementiert war, dürften sich Unternehmen wohl in der Vergangenheit häufig auch aus Marketinggründen und nicht nur aus rechtlichen Gründen um das Thema gekümmert haben. Denn der sehr überschaubare Aufwand für die rechtliche Behandlung von Datenschutzverstößen trat regelmäßig im Vergleich zur öffentlichen Wahrnehmung zurück. Durch die DS-GVO werden jedoch Bußgelder eingeführt, die in Dimensionen von Kartellrechtsstrafen vordringen: So kann die zuständige Behörde bei Verstößen Strafen bis zu EUR 20 Mio. bzw. darüber hinausgehend bis zu 4% des Jahresumsatzes verhängen. Dies geht einher mit einer bedeutenden Beweislastumkehr: Sollte es zu einem Datenleck oder auch nur einer Beschwerde kommen, muss das betroffene Unternehmen darlegen und dokumentieren können, dass es alles Erforderliche getan hat, um Datenlecks zu verhindern. Ebenso muss das betroffene Unternehmen darlegen und dokumentieren können, dass es gründlich geprüft hat, ob es die sämtlich erhobenen Daten auch wirklich braucht. Und die neuen Anforderungen bieten viel Raum für mögliche Verstöße.

II. Anwendungsbereich

Die Datenschutz-Grundverordnung gilt – wie das bisherige Datenschutzrecht auch – praktisch für jede datenverarbeitende Stelle und damit für jedes in der EU tätige Unternehmen.

III. Neue Anforderungen

Zunächst muss jedes betroffene Unternehmen ein Datensicherheitskonzept entwickeln, implementieren und (wichtig!) dokumentieren. Das Unternehmen muss im Falle eines Datenlecks anhand von Protokollen, Berichten, Prüfungen o.ä. zeigen können, dass es sich bestmöglich um Datensicherheit bemüht hat. Kommt es zudem zu einem Datenleck, muss innerhalb von 24 Stunden die Aufsichtsbehörde hierüber informiert werden. Dies erfordert die Einrichtung entsprechender Prozesse und Strukturen. Und, nimmt man den Gesetzestext ernst, ist bereits eine versehentlich an einen falschen Absender versendete E-Mail ein solches Datenleck.
Vor bestimmten Datenverarbeitungen ist zudem eine sog. Datenschutz-Folgenabschätzung durchzuführen, zu dokumentieren und ggf. sogar mit der Aufsichtsbehörde abzustimmen. Hierbei handelt es sich um vorgelagerte Prüfung der Erforderlichkeit der Datenerhebung und Abwägung mit den Interessen der Betroffenen. Dies betrifft insbesondere Situationen, für die das betroffene Unternehmen besonders umfangreich persönliche Daten erheben möchte, wobei dieser Umfang schon dann erreicht ist, wenn sich ein Unternehmen die üblichen Felder eines Registrierungsformulars z.B. für einen Newsletter oder ein Kundenbindungsprogramm ausfüllen lässt.
IT-Systeme, Prozessabläufe und Voreinstellungen sind so zu etablieren, dass möglichst wenige Daten erhoben werden („privacy by design“ und „privacy by default“). Hierfür sind erneut eine Ermittlung der notwendigen Daten, die Abwägung mit den Interessen der Betroffenen und – wieder – eine ausführliche Dokumentation notwendig.
Schließlich hält die DS-GVO einen Auskunftsanspruch für jeden Betroffenen bereit, über den ein Unternehmen Daten erhoben hat. Entsprechende Anfragen müssen zügig beantwortet werden können, was erneut die Etablierung (und wieder: Dokumentation) entsprechender Prozesse erfordert. Schließlich wird sonst kaum möglich sein, innerhalb kurzer Zeit tatsächlich alle über eine Person gespeicherten Daten zuverlässig aus der eigenen EDV auslesen zu können.
Soweit bereits Datenschutzerklärungen vorhanden sind, müssen diese geprüft und gegebenenfalls an die neuen Anforderungen angepasst werden.

IV. Umsetzungszeitplan

Es wundert daher nicht, dass Datenschutz mit einem Mal in aller Munde ist. Dabei sind die Anforderungen trotz des nun Ende April 2017 vom deutschen Gesetzgeber verabschiedeten Ausführungsgesetzes hierzu nach wie vor alles andere als klar. Die Zeit bis Mai 2018 ist daher knapp bemessen, um sämtliche Anforderungen der DS-GVO umzusetzen. Auch wenn es kaum ein Unternehmen gerne hören mag: Datenschutz wird insbesondere wegen der hohen drohenden Bußgelder nun zur Prioritätsangelegenheit. Auch wenn die Aufsichtsbehörden möglicherweise in den ersten Monaten 2018 noch selbst genug mit der Einrichtung der neuen Befugnisse beschäftigt sein werden, sollte man den 25. Mai 2018 als Deadline im Blick haben.