Die europäische Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Trotzdem haben sich viele Unternehmen noch nicht mit der DSGVO beschäftigt. Was sich ändert, wie lange eine Anpassung dauert und welche Kosten sonst drohen, haben wir mit Rechtsanwalt Boris Burow geklärt.
Der Datenschutz hat für die Europäische Union hohe Wichtigkeit. Das merken Unternehmen spätestens am 25. Mai. Dann tritt die neue Datenschutz-Grundverordnung in Kraft.
Was Unternehmen vor dem Eintreten der DSGVO machen müssen und welche Konsequenzen sonst drohen, erklärt Boris Burow im Interview. Er ist Rechtsanwalt für IT- und Medienrecht bei der Kanzlei „Burow Kachur Gentes Fiebig“ in Karlsruhe.
BASIC thinking: Boris, am 25. Mai 2018 tritt die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Kurz erklärt: Was versteckt sich dahinter?
Boris Burow: Hinter der Datenschutz-Grundverordnung versteckt sich eine einheitliche europäische Regelung zum Datenschutz. Die EU wollte den Flickenteppich im Bereich Datenschutz bereinigen und hat einheitliche Regelungen geschaffen, die ab dem 25. Mai 2018 in sämtlichen Mitgliedsstaaten der Europäischen Union gelten.
Ziel der Europäischen Union war es dabei, den Datenschutz der betroffenen Personen deutlich zu stärken und die Unternehmen im Bereich Datenschutz deutlich stärker in die Pflicht zu nehmen.
Warum wurde die Neuregelung des Datenschutzes in Europa notwendig?
Eine Neuregelung war dringend notwendig. In Deutschland galt bisher das Bundesdatenschutzgesetz (BDSG). Allerdings war dieses Gesetz handwerklich – vorsichtig ausgedrückt – verunglückt.
Es handelt sich bei dem aktuellen BDSG um ein sehr kompliziertes Gesetz mit einer Vielzahl von Regel-Ausnahme-Regel-Ausnahme-Verhältnissen. Auch war das Bundesdatenschutzgesetz in Deutschland nicht geeignet, eine Vielzahl von Fragen zu beantworten, die sich gerade im Bereich der digitalen Welt stellen.
Diese Änderung und die Anpassung des Datenschutzes an das 21. Jahrhundert war auch ein Anliegen der Europäischen Union. Der Datenschutz spielt sich heutzutage größtenteils im Online-Bereich ab, sodass hier eine europaweite Neuregelung sinnvoll war und nunmehr umgesetzt werden muss.
Welche Konsequenzen hat die DSGVO für Unternehmen, die auch im Internet aktiv sind?
Die Datenschutz-Grundverordnung hat weitreichende Konsequenzen für alle Unternehmen in der Europäischen Union. Unternehmen, die im Internet aktiv sind, treffen dabei die gleichen Pflichten, die auch Unternehmen treffen, die nicht im Internet aktiv sind.
Der Unterschied ist, dass man im Gegensatz zur bisherigen Gesetzeslage sehr ausführlich darlegen muss, welche Daten man zu welchem Zweck von dem jeweiligen Nutzer erhebt und verarbeitet. Im Unterschied zur bisherigen Gesetzeslage muss diese Belehrung aber transparent und einfach verständlich erfolgen.
Das bedeutet konkret, dass ich ab dem 25. Mai 2018 auf einer Webseite eine Datenschutzerklärung vorfinden muss, die mich sehr genau darüber aufklärt, was mit meinen Daten passiert.
Diese Erklärung muss darüber hinaus aber noch einfach verständlich sein, so dass auch ein Laie ohne Jurastudium in der Lage ist, zu wissen, welche Daten erhoben werden, zu welchem Zweck sie erhoben werden, ob sie weitergegeben werden und warum sie überhaupt erhoben werden.
Knapp drei Monate sind nicht mehr viel Zeit. Was sind die ersten Schritte, zu denen du einem Unternehmer jetzt raten würdest?
In der Tat rennt die Zeit. Auch wir merken das bei unseren Mandanten, da die Anfragen täglich zunehmen. Wenn ein Unternehmer sich jetzt mit dem Thema DSGVO beschäftigen möchte, dann rate ich zu einer umfassenden Analyse.
Bei der Analyse sollte niedergeschrieben werden, wo überall man im Internet mit einer eigenen Seite aktiv ist. Es sollte in Absprache mit einem externen oder internen IT-Administrator geprüft werden, wie der technische Datenschutz im Unternehmen organisiert ist.
Es muss geprüft werden, ob ein Datenschutzbeauftragter bestellt werden muss. Weiterhin ist es wichtig zu prüfen, ob die Mitarbeiter überhaupt schon auf das Datengeheimnis verpflichtet wurden und ob regelmäßige Datenschutzschulungen für die Mitarbeiter durchgeführt werden.
Kernelement der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten. Hierbei handelt es sich um eine detaillierte Auskunft zu einzelnen datenschutzrelevanten Prozessen. Wenn ich zum Beispiel einen Newsletter versende, so muss ich diesen Prozess in datenschutzrechtlicher Hinsicht skizzieren und hierzu einige Fragen beantworten.
Dies gilt aber auch für alle weiteren Prozesse, wie beispielsweise das Vorhalten eines Kundenverwaltungsprogrammes, Cloud-Lösungen, die ich im Unternehmen nutze, oder Fragen zur Lohnbuchhaltung und die Zusammenarbeit mit externen Dienstleistern, die auf personenbezogene Daten meines Unternehmens, meiner Mitarbeiter oder meiner Kunden zugreifen können.
Die Liste der notwendigen Tätigkeiten ist zwar sehr lang und sehr umfangreich aber mit professioneller Hilfe kann man für das eigene Unternehmen einen Fahrplan aufstellen, um datenschutzkonform zu agieren. Wenn man einmal sämtliche Anforderungen erfüllt und umgesetzt hat, ergibt sich für die Folgezeit lediglich die Notwendigkeit immer wieder kleinere Anpassungen und Änderungen vorzunehmen.
Das Thema Datenschutz ist also letztlich im Sinne der Umstellung zur DSGVO ein einmal sehr großer Aufwand, gefolgt von einem überschaubaren geringen Aufwand pro Monat.
Wie viel Zeit und Geld kostet mich die rechtskonforme Anpassung in etwa?
Die Zeit, die ein Unternehmer investieren muss und das Geld sind immer abhängig davon, was bereits im Unternehmen vorhanden ist. Die Frage ist auch immer ob der Unternehmer sämtliche Anforderungen versucht, selbst zu erfüllen, oder ob er sich professionelle Hilfe sucht.
Meines Erachtens ist es für ein Unternehmen immer sinnvoll, das Thema DSGVO in enger Abstimmung mit der IT-Abteilung beziehungsweise einem externen IT-Administrator und einem Juristen anzugehen.
Die Kosten, die dann entstehen, sind regelmäßig verschmerzbar und deutlich geringer als wenn der Unternehmer versucht, sämtliche Anforderungen selbst zu erfüllen. Er müsste sich zunächst einlesen und anschließend versuchen, sämtliche Vorgaben der DSGVO selbst zu erfüllen.
Der zeitliche Aufwand wird hier sehr groß sein, sodass es lobenswert ist, eine sehr niedrige vierstellige Summe in die Hand zu nehmen, um komplett DSGVO-konform zu werden.
Alleine schon weil die Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent vom Konzernumsatz weltweit des Vorjahres betragen können, ist es sinnvoll einmal zu investieren, um DSGVO-konform zu werden. Zeitlich gesehen kann in enger Abstimmung mit dem Unternehmer und einem IT-Ansprechpartner die DSGVO sicherlich binnen weniger Wochen umgesetzt werden.
Was passiert, wenn es mir nicht gelingt, bis zum 25. Mai 2018 alle Anforderungen der DSGVO zu erfüllen?
Wenn ich es nicht schaffe bis zum 25. Mai 2018 die Anforderungen zu erfüllen, dann drohen mir die vorgenannten Bußgelder. Sicherlich werden die Bußgelder nicht im Millionenbereich für jedes Unternehmen festgesetzt. Aber ein einfacher Vergleich zeigt, wohin die Reise geht.
Bisher lag der Bußgeldrahmen in Deutschland bei 50.000 Euro beziehungsweise in einigen Sonderfällen bis zu 300.000 Euro im Maximum. Nun steigt der Bußgeldrahmen dem Grunde nach auf bis zu 20 Millionen Euro. Alleine die beiden Zahlen 300.000 Euro und 20 Millionen Euro zeigen, wohin die Reise geht.
Wenn ein kleiner Verstoß gegen Datenschutzbestimmungen sich bisher am Höchstrahmen von 300.000 Euro orientieren musste, ist klar, dass nunmehr ein kleiner Verstoß deutlich teurer wird als bisher.
Auch ist die EU dafür bekannt, dass sie dafür sorgt, dass Bußgelder auch tatsächlich verhängt werden, um den abschreckenden Effekt zu erzielen, dass die Unternehmer sich an den neuen EU-Datenschutz halten.
Und zum Schluss noch einen Blick auf uns Nutzer: Was verändert sich für uns durch die DSGVO?
Für die Nutzer ändert sich einiges. Sie rücken in den Fokus der EU-Datenschutz-Grundverordnung. Die Nutzer sollen besser geschützt werden. Die Nutzer sollen transparenter erfahren, wie ihre Daten genutzt werden und sollen mehr Möglichkeiten haben, sich bei Datenschutzverstößen zu wehren.
Für die Nutzer verbessert sich daher vieles. Die Nutzer werden auf einer Webseite in einfacher, transparenter Weise erfahren, wie ihre Daten genutzt werden und haben zum Beispiel auch nunmehr das im Gesetz festgeschriebene Recht auf Vergessen, was der EuGH noch in seiner Rechtsprechung erarbeitet hat.
Vielen Dank für das Gespräch, Boris!
