Unsere Partner
Die EU-­Datenschutz-Grundverordnung in der Unternehmens­praxis­ Freitag, 06 Oktober 2017 09:33 Foto: André Pause

Die EU-­Datenschutz-Grundverordnung in der Unternehmens­praxis­

»Fangen Sie am besten noch heute Nacht damit an!« – mit dieser Einschätzung im Hinblick auf ein datenschutzkonformes, zukunftsweisendes Datenmanagement waren sich die drei Expertinnen bei einer Veranstaltung der Industrie- und Handelskammer Braunschweig einig.

Ab dem 25. Mai kommenden Jahres bilden die EU-Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) die Grundlage für das Management personenbezogener Daten. Es kommen neue Anforderungen auf die Unternehmen zu und zukünftig drohen hohe Bußgelder bei Verstößen. Die IHK Braunschweig informierte daher im Rahmen einer Veranstaltung mit dem Titel: »Datenschutz in der Unternehmenspraxis – Auswirkungen der EU-Datenschutz-Grundverordnung« ihre Mitgliedsunternehmen.

Was sind Datenschutzverstöße, die die Aufsichtsbehörde zukünftig ahnden wird? Wie wird diese mit dem vorgesehenen hohen Bußgeldrahmen von 20 Millionen Euro beziehungsweise vier Prozent des Gesamtumsatzes umgehen? Werden wir es zukünftig bei Datenschutzverstößen mit Abmahnwellen wie im Wettbewerbsrecht zu tun haben? Das waren die drängendsten Fragen der Teilnehmer in der Diskussionsrunde im Anschluss an die Vorträge.

Keine Entlastung für ­Unternehmen

Annette Karstedt-Meierrieks gab den Teilnehmern, orientiert an den Zielen der DS-GVO, einen Überblick über die ab Mai geltenden gesetzlichen Neuerungen. Jedem, der auf Vereinfachung hoffte, nahm Sie diese Illusion. »Der Datenschutz wurde verschärft, das muss man sich klarmachen.« Als Expertin für Datenschutzrecht im Dachverband der Industrie- und Handelskammern hat sie den Gesetzgebungsprozess auf europäischer und nationaler Ebene begleitet. Sie kritisierte daher scharf, dass es der Politik, entgegen anderslautender Absichten, nicht gelungen sei, insbesondere kleinere und mittlere Unternehmen beim Datenschutz zu entlasten. Ebenso deutlich machte Karstedt-Meierrieks allerdings, dass man zwar viel an der DS-GVO aussetzen könne, sich nun aber zügig auf deren Anforderungen einstellen müsse.

Aufklärung, Sensibilisierung und Beratung

Mit Spannung erwartet wurde der Vortrag von Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen. Ihrer Behörde kommt zukünftig nicht nur ein verstärkter Beratungsauftrag zu, sondern auch die Verhängung von Bußgeldern bei Verstößen. Thiel hob hervor, dass ihre Aufsichtsbörde zukünftig mehr Macht habe, diese allerdings verantwortungsvoll nutzen werde. Im Vordergrund sieht Sie daher auch zukünftig Aufklärung, Sensibilisierung und Beratung. Sanktionen drohten demnach insbesondere jenen, die sich »beratungsresistent« zeigen. Deutlich hob Sie die verstärkte Abstimmung der Aufsichtsbehörden untereinander hervor, weshalb Unternehmen zukünftig mit einheitlichen Bewertungen rechnen könnten.

Maßnahmen nachvoll­ziehbar dokumentieren

Dr. Britta Alexandra Mester von der datenschutz nord GmbH nahm für die Teilnehmer die Anwenderperspektive ein. DS-GVO und das BDSG-neu stellten zwar neue Anforderungen an das betriebliche Datenmanagement. Unternehmen könnten allerdings auf viele bereits bestehende datenschutzrechtliche Prozesse aufbauen. Zentrale Anforderung sei zukünftig, dass alle datenschutzrelevanten Maßnahmen nachvollziehbar dokumentiert werden. Zudem verwies Mester darauf, dass Datenschutzverstößen eine zunehmende Bedeutung in der öffentlichen Wahrnehmung zukomme. »Bei Datenschutzverstößen droht Unternehmen auch ein Imageverlust.«

Ansprechpartner: Johannes Sauter, recht@braunschweig.ihk.de, Tel.: 0531 4715-225


Bild ganz oben: Annette Karstedt-Meierrieks (DIHK), Dr. Britta Alexandra Mester (datenschutz nord GmbH) und Barbara Thiel (­Landesbeauftragte für den Datenschutz Niedersachsen, v. l.) beantworteten im Anschluss an ihre Vorträge Fragen von IHK-Rechtsreferent ­Johannes Sauter und des Publikums.


Drei Fragen an ­Barbara Thiel

Mit Inkrafttreten der EU-Datenschutz-­Grundverordnung (DS-GVO) am 25. Mai 2018 wird auch die Rolle der Aufsichtsbehörden erheblich gestärkt. Ihnen obliegt der Vollzug des Datenschutzrechts und damit auch der drastischen Bußgeldvorschriften von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes. Gleichzeitig kommt ihnen aber auch ein deutlich erweiterter Beratungsauftrag zu. Was bedeutet dies für die betriebliche Datenschutzpraxis? Drei drängende Fragen beantwortet von Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen:

Frau Thiel, Ihrer Behörde kommt eine ambivalente Funktion zu; einerseits beraten und unterstützen und andererseits beaufsichtigen und Verhängen von Bußgeldern. Gehe ich damit als Unternehmen bei Beratungsanfragen nicht immer auch ein Risiko ein?

Schon heute nehmen die Aufsichtsbehörden nach dem Bundesdatenschutzgesetz neben ihren Kontrollfunktionen auch Beratungs- und Unterstützungsaufgaben wahr. Mit der Geltung der DSGVO wird die Beratungstätigkeit der Aufsichtsbehörden aber nicht nur deutlich zunehmen, sondern auch zugleich eine neue Qualität erlangen. Auf die Aufsichtsbehörden kommen insbesondere umfangreiche Sensibilisierungs- und Aufklärungspflichten zu.

Nicht mehr nur die reaktive Beratung, sondern auch die proaktive Aufklärung und Sensibilisierung erhält zukünftig einen hohen Stellenwert. Betroffene Personen sollen künftig stärker über ihre Rechte aufgeklärt werden, Daten verarbeitende Unternehmen sollen stärker auf ihre Pflichten hingewiesen werden und insgesamt soll das Thema Datenschutz in der Öffentlichkeit einen breiteren Raum einnehmen, insbesondere hinsichtlich der Risiken bestimmter Datenverarbeitungen.

Besonders betonen möchte ich die künftige Datenschutzfolgeabschätzung: Diese sollen Technikanbietern, Aufsichtsbehörden und der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für die Rechte und Freiheiten der Betroffenen einzuschätzen und diese von vornherein so gering wie möglich zu halten. Hinsichtlich der Folgenabschätzungen haben Verantwortliche künftig einen Anspruch auf vorherige Konsultation. Die Aufsichtsbehörde muss dann innerhalb von einer Frist von acht Wochen eine verbindliche schriftliche Stellungnahme zum konkreten Einzelfall abgeben.

Umfangreiche neue Rechenschafts-, Organisations- und Dokumentationspflichten, die gleichzeitig mit hohen Bußgeldern bewährt sind. Müssen Unternehmen ab Juni 2018 mit Abfragen der Datenschutzstandards und dem ständigen Risiko hoher Bußgelder rechnen?

Sanktionsmöglichkeiten in Gestalt von Bußgeldern sind im Datenschutzrecht bekanntlich nicht neu. Gegenwärtig kann die Datenschutzbehörde bei Rechtsverstößen Bußgelder von bis zu 300 000 Euro verhängen. Doch Bußgelder in dieser Maximalhöhe sind gegenüber Unternehmen, deren milliardenschweren Geschäftsmodelle auf der Verarbeitung personenbezogener Daten beruhen, allenfalls ein stumpfes Schwert. Zu Recht hat bereits der BGH anlässlich eines Wirtschaftsstrafverfahrens darauf hingewiesen, dass »nur (durch wirkungsvolle hoheitliche Zwangsmaßnahmen) das Bewusstsein dafür geschärft werden (könne), dass sich derartige Geschäfte nicht lohnen, Aufwendungen hierfür nutzlos sind und es deshalb auch wirtschaftlicher ist, wirksame Kontrollmechanismen zur Verhinderung solcher Straftaten einzurichten«.

Diese Zielsetzung des Europäischen Parlaments ist Wirklichkeit geworden: Zukünftig können bei rechtswidrigen Datenverarbeitungen Geldbußen in Höhe von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden – ein Quantensprung gegenüber der jetzigen Rechtslage. Die Beachtung des Datenschutzes ist also zukünftig lohnender als die Ignoranz der gesetzlichen Vorgaben.

Auch zukünftig wird es in Deutschland 18 Datenschutzaufsichtsbehörden geben, was für Unternehmen bisher oft zusätzlichen Aufwand und Unsicherheit bedeutet, da die Aufsichtsbehörden vielfach zu divergierenden Ansichten kamen. Ist hier mit einer Erleichterung für Unternehmen im Sinne einer einheitlichen Aufsichtsmeinung zu rechnen?

In Deutschland unterliegt bekanntermaßen auch der Datenschutz dem Prinzip des Föderalismus. Wir haben also eine Vielzahl von Aufsichtsbehörden. Was für die EU-Ebene gilt, ist zukünftig natürlich erst recht für die Aufsichtsbehörden innerhalb Deutschlands der Maßstab: die Pflicht zur besseren Zusammenarbeit.

Im neuen Bundesdatenschutzgesetz ist das Verfahren der Zusammenarbeit der deutschen Aufsichtsbehörden folgendermaßen festgelegt: Wir müssen uns über eine gemeinsame Stellungnahme verständigen, bevor wir uns im europäischen Raum entscheidend äußern. Können die Aufsichtsbehörden kein Einvernehmen erzielen, legt letztlich der gemeinsame Vertreter im Europäischen Datenschutzausschuss, also die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, den gemeinsamen Standpunkt der deutschen Aufsichtsbehörden fest, wenn nicht die Aufsichtsbehörden einen anderen Standpunkt mit einfacher Mehrheit beschließen.

Es bleibt abzuwarten, wie wir Aufsichtsbehörden mit diesen neuen Gegebenheiten umgehen – schließlich waren wir es gewohnt, unsere eigenen Auffassungen auch neben anderen Standpunkten geltend machen zu können. Auch bereits im nationalen Abstimmungsverfahren ist es von entscheidender Bedeutung, dass wir Aufsichtsbehörden uns um einen Konsens bemühen – Uneinigkeit in Deutschland schwächt unseren Einfluss in Europa.


Bitte lesen Sie auch zu diesem Thema den Einspruch
 

geschrieben von  js