Die neue Legislative der Europäischen Union unter der geheimnisvollen Abkürzung GDPR stürzt auf uns förmlich von allen Seiten ein. Das mediale Gespenst in Form von drastischen Strafen, Softwareangeboten zur Sicherstellung der Implementierung und die umfangreiche Regelung neuer Pflichten ist sicher auch Ihrer Aufmerksamkeit nicht entgangen. Wie soll diese Regelung aber in die Praxis umgesetzt werden? Was alles muss ich erfüllen und einhalten? Welche wirklichen Risiken bestehen?
In erster Linie ist zu klären, ob ich mich mit der Problematik der GDPR überhaupt befassen muss. Zunächst ist festzuhalten, dass die neue rechtliche Regelung zum Schutz personenbezogener Daten bereits ab dem 25. Mai 2018 gelten und jede Einzelperson, Gesellschaft oder Institution betreffen wird, sei es gewerbliche Subjekte, staatliche oder Selbstverwaltungsbehörde, die personenbezogene Daten über Bürger der Europäischen Union (EU) verwalten und verarbeiten. Sie wird sich dabei nicht nur auf in der Europäischen Union ansässige Gesellschaften beziehen, sondern auch auf Subjekte außerhalb der EU, die ihre Waren und Dienstleistungen in der EU ansässigen Personen anbieten. Ziel der neuen rechtlichen Regelung ist es, den Bürgern der EU zu garantieren, dass ihre personenbezogenen Daten nur zu einem bestimmten, gesetzlichen oder vorher ausdrücklich erklärten und legitimen Zweck verarbeitet werden.
Gegenstand des Schutzes sind einerseits allgemeine personenbezogene Daten, typischerweise der Name, das Geschlecht, Alter oder Geburtsdatum, aber auch technische Daten, wie z. B. E-Mail, IP-Adresse oder sog. „Cookies“. Eine einem strengeren Schutz unterliegende Sonderkategorie bilden sensible personenbezogene Daten, zu denen neu genetische und biometrische Daten und personenbezogene Daten der Kinder zählen. Dabei ist augenscheinlich, dass Daten eines sehr breiten Personenkreises geschützt werden, der nicht nur die Kunden oder Lieferanten von Gesellschaften umfasst, sondern auch deren Mitarbeiter.
Was konkret verlangt die neue Regelung von den Verantwortlichen oder Auftragsverarbeitern, also fast von uns allen? Kernprinzip der neuen Regelung ist der auf der Analyse der Risiken und dem Treffen von Maßnahmen basierende Ansatz, die eine mögliche Beeinträchtigung des Schutzes personenbezogener Daten verhindern. In der Praxis wird es dabei insbesondere darum gehen, dass bei einer Untersuchung durch die Datenschutzbehörde (DSB) der Nachweis erbracht werden kann, dass innerhalb der Gesellschaft (Auftragsverarbeiter) technisch-organisatorische Maßnahmen getroffen und Mechanismen eingestellt wurden, die den Datenschutz sichern. Zu den konkreten Pflichten zählen die Ausfertigung einer Datenschutz-Folgenabschätzung, die Implementierung eines bewussten und notwendigen Datenschutzes, die Zusammenarbeit mit der DSB, die Führung der Aufzeichnungen über die Verarbeitung personenbezogener Daten, die Ernennung eines Datenschutzbeauftragten, die Pflicht, der DSB alle Zwischenfälle zu melden und die Sicherstellung einer Reihe von Rechten natürlicher Personen, wie z. B. Recht auf Datenübertragbarkeit und Recht auf Datenlöschung. Diese Pflichten erfordern in der Praxis eine Revision der bestehenden Mechanismen und die Annahme einer ganzen Reihe von Systemveränderungen innerhalb jeder Organisation, mit denen ein nicht unerheblicher administrativer, technischer und finanzieller Aufwand verbunden ist.
Bei Datenschutzverletzungen drohen den Gesellschaften Bußgelder von bis zu 20 Mio. Euro bei natürlichen Personen und bis zu 4 % des Jahresumsatzes bei Gesellschaften. Derart hohe Geldbußen sollen ausreichend wirksam und abschreckend sein, wobei bei ihrer Auferlegung nicht nur das Schadensmaß Berücksichtigung finden wird, sondern auch die von der Gesellschaft getroffenen konkreten Datenschutzmaßnahmen.
Angesichts der steigenden Zahl von Cyber-Angriffen und Datenmissbrauch kann es den Anschein haben, dass die Risiken einer Verletzung des Datenschutzes insbesondere mit Angriffen auf die Gesellschaft von außen verbunden sind. Ein erhebliches Gefahrenpotential kann allerdings auch aus internen Quellen stammen, z. B. von (unzufriedenen) Mitarbeitern oder ehemaligen Mitarbeitern. Es sind nämlich gerade diese Personen, die über eingehende Informationen über die Tätigkeit der Gesellschaft verfügen.
Wenngleich die GDPR hohe Anforderungen an die Arbeitsweise jedes Subjekts stellt, wird deutlich, wie sich dies übrigens auch aus den Mitteilungen der Vertreter der DSB ergibt, dass die Behörde im Falle einer Untersuchung insbesondere berücksichtigen wird, welche Anstrengungen die Gesellschaft zur Einhaltung der Rechtspflichten und Vermeidung von Datenschutzverletzungen unternommen hat. Eine solche Verletzung, bzw. Missbrauch personenbezogener Daten lässt sich nämlich nie vollkommen ausschließen, sondern kann nur minimiert werden.
Es bleiben acht Monate zur Vorbereitung auf die GDPR. Es ist daher höchste Zeit, mit der Planung der Implementierung wirksamer rechtlicher und IT-Maßnahmen zu beginnen, damit ein unsachgerechter oder laxer Datenschutzansatz nicht zu hohen Bußgeldern führt, die liquidierende Folgen haben könnten. Es muss nicht betont werden, dass es insbesondere die Geschäftsführungsorgane von Gesellschaften sind, die primäre Verantwortung für die fristgerechte und professionelle Behandlung der Problematik der GDPR tragen.
