Am 14. April 2016 wurde die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) durch das Europäische Parlament verabschiedet. Zwanzig Tage nach ihrer Veröffentlichung am 4. Mai 2016 ist sie in Kraft getreten und damit zu geltendem Recht in allen Staaten der Europäischen Gemeinschaft geworden. Nach einer zweijährigen Übergangsfrist ersetzt sie damit ab dem 25. Mai 2018 das Bundesdatenschutzgesetz als unmittelbar und verbindlich geltende Datenschutznorm in Deutschland. Gemäß einer aktuellen Marktforschungsstudie haben 97 % aller betroffenen Unternehmen noch keinen konkreten Plan, wie die kommenden datenschutzrechtlichen Anforderungen zu erfüllen sind. Und wenngleich in der EU-DSGVO an vielen Stellen Ähnlichkeiten zu den Regelungen des bisher noch geltenden Bundesdatenschutzgesetzes erkennbar sind, ist der neu umzusetzende Regelungsumfang doch erheblich: Nicht ohne Grund wurde daher vom Gesetzgeber die bereits erwähnte zweijährige Übergangsfrist vorgesehen, um den Unternehmen eine angemessene Vorbereitung zu ermöglichen.

Wesentliche Anforderungen der EU-DSGVO

Die EU-DSGVO fordert in größerem Maße als bisher ein eigenverantwortliches Handeln, bspw. durch die gesetzliche Verpflichtung zur Durchführung von systematischen Risikoeinschätzungen der Datenverarbeitung im Hinblick auf datenschutzrelevante Daten und Prozesse. Dies geht einher mit stark erweiterten Nachweispflichten, die in den neuen Grundsätzen der Nachweisbarkeit und Rechenschaftspflicht begründet sind. Deren Umsetzung erfordert an vielen Stellen eine deutliche Erweiterung der Dokumentation von datenschutzrelevanten Sachverhalten und soll die Aufsichtsbehörden in die Lage versetzen, viele Sachverhalte nach Aktenlage zu beurteilen. Die Position der Aufsichtsbehörden selbst wird unter anderem durch drastisch gestiegene, qua Gesetz ausdrücklich auf eine Abschreckung abzielende Bußgelder in der Größenordnung von bis zu 2 bzw. 4 Mio. Euro gestärkt. Dabei wurde auch den „Großen“ der IT-Branche Rechnung getragen: Bußgelder können bis zu 2 % bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, wenn dieser Betrag die zuvor genannten Größen übersteigt. Darüber, wie diese Bußgelder tatsächlich umgesetzt werden, kann zum gegenwärtigen Zeitpunkt natürlich nur spekuliert werden. Des Weiteren verfügen die Aufsichtsbehörden – auch jetzt schon – über zusätzliche Befugnisse von der Verwarnung bis hin zur Einstellung eines Prozesses im Falle besonders schwerwiegender Verstöße gegen geltende Datenschutzvorschriften. Vor diesem Hintergrund kommt der Risikobeurteilung von datenschutzrelevanten Prozessen eine wichtige Bedeutung zu. Stärker als bisher ist auch die Verpflichtung normiert, angemessene Datenschutzmaßnahmen bereits vor der Inbetriebnahme von Datenverarbeitungsverfahren sicherzustellen. Diese sollen im Sinne einer „Voreinstellung“ zum Standard des IT-Betriebs werden. Hierfür haben sich die Begriffe „Privacy by Design“ und „Privacy by Default“ etabliert, welche darauf hindeuten, dass die Vertraulichkeit von Daten nicht erst nachträglich, sondern bereits bei der Konzeption von IT-Verfahren und -Systemen zu berücksichtigen und im Sinne einer Voreinstellung einzurichten ist. Datenschutz soll die Regel, nicht die Ausnahme sein.

Dieser Artikel ist erstmalig erschienen in:

Verbleibende Rechtsunsicherheiten bei technologischen Nischen

Im Vorfeld der Verabschiedung regte sich von vielen Seiten die Hoffnung, dass für eine Reihe technologischer Nischen klare Nutzungsregelungen geschaffen werden würden – etwa für die Lokalisierung mittels GPS, Videoüberwachung oder biometrische Authentifizierungsverfahren, wie beispielsweise die Anmeldung am Computer oder der Eingangstür per Fingerabdruck. Wenngleich erste Gesetzesentwürfe hierzu noch konkrete Regelungsvorschläge beinhalteten, sind diese im verabschiedeten Text nicht mehr zu finden. Stattdessen wird es in vielen der betreffenden Fälle erforderlich sein, eine individuelle Risikoeinschätzung durchzuführen, in welcher die schutzwürdigen Belange der betroffenen Personen den Interessen des Unternehmens und den von Unternehmensseite getroffenen Schutzmaßnahmen gegenübergestellt und bezüglich ihrer Angemessenheit gewürdigt werden. Im Hinblick auf die subjektive Ausprägung einer solchen Einschätzung bleibt hier immer die Rechtsunsicherheit bestehen, dass eine Aufsichtsbehörde die Auffassung des Unternehmens nicht anerkennt und damit die für den Betrieb eines Verfahrens erforderliche Rechtsgrundlage nicht besteht. Ein möglicher Lösungsansatz, der bislang von vielen Unternehmen gemieden wurde – die Abstimmung eines IT-Verfahrens mit der Aufsichtsbehörde – ist nun im Gesetz fest verankert und zumindest immer dann durchzuführen, wenn der Betrieb eines Verfahrens bei inadäquaten Schutzmaßnahmen mit einem hohen Risiko für die Betroffenen verbunden ist.

IT-Sicherheitsmanagement gewinnt an Bedeutung

Risikoorientierte IT-Sicherheitsmanagementstandards, wie jüngst durch das Bundesamt für Sicherheit in der Informationstechnik mit dem Entwurf zum Standard 200-3 vorgestellt, sollten spätestens mit dem Inkrafttreten der EU-DSGVO allein aus Compliance-Erwägungen als Teil des Pflichtprogramms für Unternehmen betrachtet werden. Hier sind sich viele IT-Sicherheitsexperten einig: ohne ein strukturiert aufgebautes IT-Sicherheitsmanagement sind die Anforderungen der EU-DSGVO an die Durchführung systematischer Risikoanalysen, zu treffende Schutzmaßnahmen und die systematische Dokumentation selbiger kaum zu bewerkstelligen. Darüber hinaus sollte jedes Unternehmen auch unabhängig von den gesetzlichen Regelungen der EU-DSGVO beurteilen, ob und in welchem Umfang der Schutz von Geschäfts- und Betriebsgeheimnissen, deren Verlust einen handfesten Wettbewerbsnachteil für das Unternehmen mit sich ziehen könnte, bei der Konzeption des IT-Sicherheitsmanagements berücksichtigt werden muss.

Fazit

Noch ist es Zeit, bis die EU-DSGVO im Mai 2018 gilt. Diese Zeit sollte zunächst genutzt werden, um eine Bestandsanalyse der im eigenen Unternehmen betriebenen Geschäftsprozesse und IT-Verfahren durchzuführen. Im nächsten Schritt muss beurteilt und geplant werden, welche Maßnahmen zu treffen sind, um die Compliance im IT-Betrieb und einen angemessenen Schutz der gespeicherten Daten gewährleisten zu können. Um das bestehende Potential an Synergieeffekten zu nutzen, sollte dabei erwogen werden, neben den personenbezogenen, im Datenschutz relevanten Daten auch Geschäfts und Betriebsgeheimnisse betreffende Daten zu berücksichtigen.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: