Ganz sicher. Den Anforderungen des Datenschutzrechts muss jedes Unternehmen genügen, das mit personenbezogenen Daten arbeitet. Unabhängig von seiner Größe. Personenbezogene Daten können Daten von Kunden, von Geschäftspartnern oder von Beschäftigten sein. Dabei ist der Begriff der personenbezogenen Daten so weit, dass darunter auch Daten fallen, die man herkömmlich als rein technische Daten betrachten würde, z.B. Log-Dateien oder IP-Adressen. Es gibt damit praktisch kein Unternehmen, das nicht betroffen ist.
Was ist zu tun?
Jedes Unternehmen, das zum Thema Datenschutz bislang untätig war, sollte sich zunächst eine erste Übersicht über die seit Mai 2018 geltenden Anforderungen verschaffen, dann Handlungsbedarf identifizieren und schließlich umzusetzende Maßnahmen festlegen. Für diesen Einstieg bieten wir Info-Veranstaltungen und Workshops an.
Ziel sollte es sein, schnellstmöglich zumindest die Maßnahmen umgesetzt oder wenigstens eingeleitet zu haben, die das Sanktionsrisiko erheblich senken.
Um welche Themen geht es?
Folgende Aspekte sind für Unternehmen relevant:
(1) Allgemeine Anforderungen an die Verarbeitung von Daten
Die Risiken bei Nichteinhaltung der datenschutzrechtlichen Anforderungen treffen nicht – wie bisher – nur die verantwortliche Stelle, sondern nun auch die sog. Auftragsverarbeiter, also solche Dienstleister, die Aufgaben für andere Unternehmen übernehmen, bei denen personenbezogene Daten verarbeitet werden. Neben den drastischen Bußgeldern droht eine verschärfte zivilrechtliche Schadensersatzhaftung, die auch auf eine Haftung für immaterielle Schäden („Schmerzensgeld“) ausgeweitet wurde. Es ist daher zu klären, ob im notwendigen Umfang vertragliche Vereinbarungen über die Verarbeitung personenbezogener Daten durch Dritte vorhanden sind. Bestehende Verträge über Auftragsverarbeitung sollten auf Änderungsbedarf überprüft und erforderlichenfalls angepasst, bei Neuverträgen die geänderte Rechtslage berücksichtigt werden.
Ein besonderes Risiko besteht darin, dass die Aufsichtsbehörde bei Datenschutzverstößen bestimmte Verfahren auch untersagen kann. Das kann dazu führen, dass Produkte vom Markt genommen, Geschäftsmodelle eingestellt oder Betriebsabläufe umgestellt werden müssen.
(2) Dokumentations- und Rechenschaftspflichten
Die Pflicht zur Dokumentation datenschutzrechtlich relevanter Vorgänge wurde massiv ausgeweitet. Hier bestanden bei vielen Unternehmen schon früher erhebliche Defizite, weil es z.B. vielfach kein internes Verfahrensverzeichnis gibt. Das betrifft zum Beispiel die Dokumentation von technischen und organisatorischen Maßnahmen (TOMs) oder das Verzeichnis von Verarbeitungstätigkeiten.
Außerdem sollten Unternehmen die Dokumentation schon zum Selbstschutz optimieren, da die DSGVO bei Verstößen faktisch eine Beweislastumkehr vorsieht. Das bedeutet, dass sich das Unternehmen bei datenschutzrechtlichen Vorfällen entlasten muss, was im Regelfall ohne Vorlage der entsprechenden Dokumentation unmöglich ist.
(3) Datenschutz-Folgenabschätzung
Bringt eine Datenverarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes datenschutzrelevantes Risiko für betroffene Personen mit sich, so muss das Unternehmen eine zu dokumentierende Folgenabschätzung vornehmen und unter Umständen auch mit der Aufsichtsbehörde abstimmen. Hiervon sind eine Vielzahl von Prozessen und Geschäftsmodellen betroffen. Die Aufsichtsbehörden haben hier zunehmend insbesondere die Videoüberwachung sowie die GPS-Ortung von Mitarbeiter(inne)n im Visier.
(4) Pflicht zu „Privacy by Design“ und zu „Privacy by Default“
Bei der Produktentwicklung sind nunmehr explizit datenschutzrechtliche Belange zu berücksichtigen. „Privacy by Design“ beinhaltet die Pflicht des Unternehmens zu technischen und organisatorischen Maßnahmen, die die Einhaltung der Datenschutzvorschriften gewährleisten und begründet umfassende Anforderungen für die Produktentwicklung. „Privacy by Default“ bedeutet, dass Standardeinstellungen (z.B. bei Software oder Online-Diensten) so zu gestalten sind, dass nur Daten verarbeitet werden, die für konkreten Zweck benötigt werden. Diese Pflicht wirkt sich nicht nur für die Hersteller aus, sondern – wie u.a. das Beispiel des aktuellen Bußgeldverfahrens gegen die Deutsche Wohnen SE belegt – auch für die Nutzer von Softwarelösungen, die u.U. nicht datenschutzrechtskonform funktionieren.
(5) Einwilligungen
Viele Verarbeitungsvorgänge und Geschäftsmodelle bedürfen einer ausdrücklichen Einwilligung des Betroffenen. Hier stellen sich viele Fragen, etwa zur Fortgeltung früher erklärter Einwilligungen, zur wirksamen Einholung von Einwilligungen oder sehr häufig auch, ob eine Einwilligung für den konkret beabsichtigten Zweck überhaupt notwendig oder rechtlich möglich ist.
(6) Maßnahmen zur Umsetzung von Rechten der Betroffenen
Die DSGVO gewährt den Betroffenen zahlreiche Rechte, die teilweise über die früher geltenden Rechte hinausgehen. Hierzu zählen insbesondere das Recht auf Berichtigung, das Recht auf Löschen und Vergessenwerden, das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit. Hierzu müssen Umsetzungsmaßnahmen festgelegt werden. Entsprechendes gilt für die zahlreichen in der DSGVO vorgesehenen Informationspflichten. „Betroffene“ im rechtlichen Sinne sind nicht nur Kunden und Geschäftspartner, sondern insbesondere auch die Mitarbeiter(innen) des eigenen Unternehmens.
(7) Vorkehrungen für den Ernstfall
Unter bestimmten Voraussetzungen bestehen im Fall einer festgestellten Datenschutzverletzung Meldepflichten des Unternehmens. Der Zeitraum hierfür ist mit 72 Stunden relativ kurz und kann in der Regel nur eingehalten werden, wenn für diesen Fall bereits ein Prozess vordefiniert ist.