Die EU-Datenschutz-Grundverordnung (DSGVO)
Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO) in deutschen Unternehmen. Rechtsanwalt und Datenschutzbeauftragter Tim Günther zieht für diese Zeit ein positives Fazit, allerdings mit Einschränkungen: „In mittelständischen und großen Unternehmen ist die Umsetzung nahezu abgeschlossen. Beim kleineren Mittelstand ist immer noch sehr viel Luft nach oben.“
Hier gehen wir auf zentrale Inhalte der DSGVO und ihre Ausgestaltung durch Gerichtsurteile in der jüngsten Vergangenheit ein. Außerdem beschäftigen wir uns mit den Bereichen, in denen noch oft „Luft nach oben“ ist, und geben Tipps für das Schließen von Datenschutzlücken.
Routine ist entscheidend bei der Umsetzung der DSGVO
Ein Ziel hat die DSGVO laut Tim Günther in jedem Fall erreicht: „Unternehmen sind sensibilisiert für die Themen Datenschutz, Datensicherheit und speziell die Verarbeitung personenbezogener Daten.“
Allerdings gibt es in dieser Beziehung starke Unterschiede. Banken, Krankenkassen oder Versicherungen haben eigene Datenschutzabteilungen, die täglich mit Auskunftsanfragen konfrontiert sind. In vielen mittelständischen Unternehmen ist die Routine im Umgang mit Datenschutzthemen weniger ausgeprägt. Damit steigt das Risiko von Fehlern.
Wichtig: Für die Einhaltung der EU-Datenschutz-Grundverordnung haftet der Vorstand beziehungsweise die Geschäftsführung. Eine Ausnahme besteht, wenn die Geschäftsführung nachweisen kann, dass Beschäftigte grob fahrlässig oder mit Vorsatz gehandelt haben.
Zentrale Bestandteile der DSGVO und ihre Bedeutung für Unternehmen
Folgende Inhalte der DSGVO sind zentral für Unternehmen:
- Strenge Voraussetzungen für die Bearbeitung personenbezogener Daten: Um rechtmäßig personenbezogene Daten zu bearbeiten, müssen Unternehmen und Behörden eine Reihe an Anforderungen erfüllen. Dazu gehört, dass sie nur die Daten erheben, die für einen klar definierten Zweck benötigt werden. Sie dürfen diese Daten auch nur für festgelegte, eindeutige und legitime Zwecke verarbeiten.
- Recht auf Vergessenwerden: Unternehmen müssen personenbezogene Daten löschen, wenn diese beispielsweise nicht mehr für den ursprünglichen Zweck notwendig sind oder die betroffene Person ihre Einwilligung widerruft.
- Auskunftsrecht von Betroffenen: Betroffene können von Unternehmen verlangen, ihnen über personenbezogene Daten Auskunft zu geben. Dieses Auskunftsrecht wurde durch Gerichtsentscheidungen in der jüngsten Vergangenheit präzisiert. Das Resultat fällt, so Tim Günther, sehr betroffenenfreundlich aus. So erstreckt sich das Auskunftsrecht sogar auf interne Aufzeichnungen und auf Unterlagen, welche die/der Betroffene schon hat.
- Datenschutzbeauftragte: Unter bestimmten Voraussetzungen müssen Unternehmen eine Datenschutzbeauftragte beziehungsweise einen Datenschutzbeauftragten bestellen. Maßgeblich dafür ist laut DSGVO die Kerntätigkeit des Unternehmens. Das Bundesdatenschutzgesetz (BDSG-neu) verlangt außerdem eine solche Position, wenn mindestens 20 Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Häufige Stolperstellen im Datenschutz
Während sich vieles über die letzten Jahre und Monate eingespielt hat, einschließlich des datenschutzkonformen Umgangs mit Cookies, sind die folgenden Fehler laut Tim Günther noch verbreitet:
Daten werden nicht gelöscht
„Ein Löschkonzept existiert zwar, wird aber nicht gelebt.“ Um das festzustellen, reiche meist ein Blick ins eigene E-Mail-Postfach. Dort fänden sich oft Hunderte von Mails, die schon gelöscht sein müssten, weil die darin enthaltenen Daten nicht mehr gebraucht werden.
Dasselbe gelte für Bilder. Viele Verantwortliche in Unternehmen wissen nicht: Wer Fotos von Mitarbeitenden, die das Unternehmen verlassen haben, auf der Unternehmenshomepage oder in unternehmenseigenen Social-Media-Kanälen belässt, riskiert Schadensersatzansprüche.
Fehler bei Auskunftsansprüchen
Apropos Schadensersatzansprüche: Oft entstehen diese aus Fehlern bei der Bearbeitung von Auskunftsansprüchen. Besonders groß ist die Gefahr, wenn die Routine fehlt.
Wichtig in diesem Zusammenhang ist: Arbeitnehmerinnen und Arbeitnehmer stellen in Arbeitsgerichtsprozessen gerne Auskunftsansprüche, zum einen, um sich an ihrem (früheren) Arbeitgeber zu „rächen“, und zum anderen, weil sich damit Geld erstreiten lässt.
Nachlässiger Umgang mit Schriftarten
Unternehmen müssen Google Webfonts auf lokalen Servern einbinden, um sie datenschutzkonform zu verwenden.
Schließlich gibt es ein spezielles Problem: den Datenverkehr mit Ländern außerhalb der Europäischen Union.
Exkurs: Sonderfall Drittstaatentransfer
An den Transfer personenbezogener Daten in Länder außerhalb der EU (Drittländer bzw. Drittstaaten) stellt die DSGVO besondere Herausforderungen. Vor allem gilt das für sogenannte „unsichere Drittländer“, zu denen die USA gehören. Den EU-US Privacy Shield, der eine Zeit lang als Absicherung für Datentransfers in die USA galt, erklärte der Europäische Gerichtshof (EuGH) 2020 für nicht ausreichend (Schrems II).
Seitdem, stellt Tim Günther fest, sei es „für kaum jemanden greifbar, wie er Daten in die USA transferieren könne“. Das gelte umso mehr, als auch der Abschluss der sogenannten „Standardvertragsklauseln“ aller Voraussicht nach alleine nicht ausreiche.
Die Hoffnung ruht nun darauf, dass die EU und die USA, wie im April 2022 angekündigt, bald mit einem neuen Abkommen für ein sicheres Fundament sorgen. Darin vermutet Tim Günther auch den Grund dafür, dass die Datenschutzbehörden bisher nicht umfassend aktiv werden. Anlass dazu gäbe es genug. Schließlich gibt es allein aufgrund einschlägiger Software kaum Unternehmen, in denen kein Datentransfer in die USA stattfindet.
Umsetzen, dokumentieren, auf dem Laufenden bleiben – Tipps für rechtskonformen Datenschutz in Unternehmen
Lässt man das Thema Drittstaatentransfer beiseite, hat Tim Günther eine gute Nachricht für mittelständische Unternehmen: „Im normalen Mittelstand sind Verantwortliche nicht mit Tausenden von Vorgaben konfrontiert. Wenn sie 15 bis 20 zentrale Punkte umsetzen, erfüllen sie etwa 95 Prozent der Datenschutzanforderungen. Absolute Sicherheit gibt es nie.“
Dabei sei neben einer systematischen Umsetzung im Rahmen eines Datenschutzmanagementsystems die Dokumentation der eigenen Maßnahmen entscheidend. Denn mit ihrer Hilfe könnten Verantwortliche in Streitfällen nachweisen, dass sie ihr Möglichstes getan haben.
Außerdem sei es unerlässlich für Datenschutzbeauftragte und andere Verantwortliche, sich regelmäßig über Neuerungen im Datenschutz zu informieren. Für diesen Zweck empfiehlt Tim Günther vier Quellen:
- Pressemitteilungen von Behörden,
- Newsletter zum Thema Datenschutz,
- Update-Fortbildungen nach Art. 37 Abs. 5 DSGVO und
- LinkedIn-Beiträge von Experten, zum Beispiel Anwälten, die sich auf Datenschutz spezialisiert haben.
Die Schonfrist könnte bald vorbei sein
Seit Inkrafttreten der DSGVO gab es allenfalls kurze Phasen, in denen Datenschutzbehörden auf breiter Front gegen Datenschutzverstöße vorgingen. Der mutmaßliche Personalmangel in Behörden ist ein Grund dafür, die Corona-Pandemie ein anderer.
Doch das könnte sich bald ändern. Wahrscheinlich ist die Schonfrist in naher Zukunft vorbei. Dann könnten die mittelständischen und kleinen Unternehmen ins Visier der Behörden geraten, die Löschkonzepte oder das Auskunftsrecht auf die leichte Schulter nehmen. Damit ist es höchste Zeit, sich über den aktuellen Rechtsstand zu informieren und Schwächen im eigenen Datenschutzmanagementsystem zu beheben.
Unsere Empfehlungen für Sie
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41
abartsch@tuev-nord.de