Datenschutzverordnung: einheitlich, aber mehr Aufwand

18. Jan. 2018
Eine gute und eine schlechte Nachricht verbinden sich mit der Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) zum 25. Mai 2018. Die gute: Das europäische Datenschutzrecht soll vereinheitlicht werden. Die schlechte: Der Verwaltungsaufwand für Transport- und Logistikunternehmen nimmt durch neue Dokumentations- und Meldepflichten zu.
Denn die EU-DSGVO enthält einige Neuerungen. So ist etwa der Verlust oder Missbrauch innerhalb von 72 Stunden nach Kenntnis an die nationale Aufsichtsbehörde zu melden. „Es ist bis dato noch nicht bekannt, welche Behörde dies genau sein wird“, teilt Frank Huster, Hauptgeschäftsführer des Deutschen Speditions- und Logistikverbandes (DSLV), auf Anfrage von trans aktuell mit. Fest steht allerdings: Sind die persönlichen Rechte der Betroffenen nicht verletzt, entfällt die Meldepflicht.
Hohe Strafen
Was außerdem einen vermehrten Aufwand darstellen dürfte: Jede Datenschutzverletzung ist zu dokumentieren. Und: Datenschutzverletzungen sollten nicht auf die leichte Schulter genommen werden. Denn die Bußgelder sind enorm. Bei einem Verstoß stehen Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Gesamtumsatzes im Raum. Für manche Unternehmen kann dies die Existenz gefährden. Doch greifen diese hohen Strafen greifen jedoch erst in besonders gravierenden Fällen – etwa bei Verstößen gegen die Datenverarbeitungsgrundsätze oder bei einer Verarbeitung ohne Rechtsgrundlage. Für Panik besteht also kein Grund. Auf Anfrage von trans aktuell geht auch der Bundesverband Wirtschaft, Verkehr und Logistik (BWVL) davon aus, dass Kontrollbehörden erst nach einer Übergangsfrist kontrollieren und Bußgelder verhängen – wegen der Komplexität der Änderungen.
Anonymisierung
Wichtig: Künftig ist der Datenschutz bereits in der Entwicklungsphase von Produkten und Dienstleistungen verankert („Privacy by Design“). Das heißt zum Beispiel im Bereich Software: Bereits bei der Entwicklung oder beim Kauf ist die Datenminimierung der Nutzerdaten ein wichtiges Kriterium, wie auch die Pseudonymisierung und Anonymisierung.
Außerdem müssen Datennutzer mit Inkrafttreten der EU-DSGVO erweiterte Informationspflichten erfüllen. So ist etwa ein Kunde oder Arbeitnehmer zu informieren, bevor die Daten erhoben werden. Auch den Verwendungshintergrund müssen die Betroffenen erfahren. Zudem ist eine andere Verwendung der erhobenen Daten im Nachhinein nicht mehr möglich. Ebenso verlangt die EU-DSGVO ein Verzeichnis über alle Verarbeitungstätigkeiten. Das Unternehmen muss dieses bei Kontrollen vorlegen. Spezielle Informationspflichten hat der Datennutzer jeweils bei einer Direkterhebung oder Dritterhebung (Art. 13 EU-DSGVO).
Auskunftsrecht
Wie schon nach der bisherigen Rechtslage können Arbeitnehmer Auskunft über gespeicherte personenbezogene Daten verlangen – mit formlosem Antrag und ohne Begründung. Das so genannte Auskunftsrecht ist in Art. 15 der EU-DSGVO detailliert beschrieben. Unternehmen sind gut beraten, sich rechtzeitig und organisatorisch auf eine zügige und korrekte Auskunftserteilung vorzubereiten.
Die Löschung personenbezogener Daten nimmt wie schon bisher auch in der neuen EU-DSGV einen breiten Raum ein. Bereits jetzt gilt in Deutschland das Recht auf Datenlöschung, wenn die Speicherung von Daten nicht aus zwingenden vertraglichen oder rechtlichen Gründen erforderlich ist. Auch in der neuen EU-DSGVO ist dies als ein „Recht auf Vergessen“ ausdrücklich festgeschrieben. Wenn beispielsweise ein Betroffener seine Einwilligung zur Datenerhebung widerruft und auch keine sonstige Rechtsgrundlage greift, müssen personenbezogene Daten eigenständig durch den Verantwortlichen gelöscht werden (Art. 17 EU-DSGVO), und zwar unverzüglich.
Zu viele Öffnungsklauseln
Allerdings: Im Internet ist das Recht auf Vergessen noch nicht geregelt. Der BWVL erklärt auf Anfrage von trans aktuell: „Dies ist ein ganz großes Feld, bei dem wir heute noch nicht wissen, wie die Umsetzung konkret aussehen kann.“ Bislang stoßen nicht alle Neuerungen in der EU-DSGV auf durchweg positive Resonanz. Es gibt auch Kritik. So erklärt etwa der DSLV, die von der EU-Kommission angestrebte Vollharmonisierung des Datenschutzes werde nicht erreicht. Es gebe zu viele Öffnungsklauseln.
Besondere Vorsicht ist geboten, wenn personenbezogene Daten in sogenannte Drittstaaten übermittelt werden sollen, also in Länder außerhalb der Europäischen Union. Die EU-DSGVO sieht dafür besondere Regelungen vor (Art. 9, 44 und 45). So dürfen personenbezogene Daten an ein Drittland nur übermittelt werden, wenn es dort nach Ansicht des Gesetzgebers ein angemessenes Schutzniveau gibt. Ausschlaggebend hierfür sind Kriterien wie Rechtsstaatlichkeit sowie Achtung der Menschenrechte und Grundfreiheiten.
Kompakte Infos
Die Datenschutzkonferenz (DSK) erarbeitet momentan Handlungsanweisungen zum neuen Datenschutzrecht und veröffentlicht diese nach und nach online. Die so genannten Kurzpapiere mit den kompakten Informationen können unter dem QR-Code rechts im Titelbild abgerufen werden. Auf Anfrage von trans aktuell kündigt die DSK an, bis zum 25. Mai 2018 weitere Kurzpapiere hinzuzufügen. Der QR-Code links führt auf die Themenseite Datenschutz von www.eurotransport.de mit weiteren Informationen.
Wichtig zu wissen
• Nur noch kurze Übergangsfrist bis 25. Mai 2018
• Kunde kann die Löschung personenbezogener Daten verlangen. Das Unternehmen muss dem entsprechen.
• Bei Verstößen stehen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Gesamtumsatzes im Raum.
• Mit der EU-DSGV tritt am 25. Mai auch das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Dieses orientiert sich stark an der EU-DSGV, lässt jedoch Spielräume.
Bei der Umsetzung beachten
• Informationspflichten und Löschkonzepte implementieren
• Datenschutzorganisation anpassen
• Meldepflichten organisieren
• Dienstleistungsbeziehungen anpassen
• Dokumentation aufbauen
• IT-Sicherheit anpassen
• Betriebsvereinbarungen anpassen
To-do-Liste bis zum 25. Mai
• Prüfen, ob die Informationspflichten gegenüber Betroffenen anhand der bestehenden Datenverarbeitungsprozesse bereits EU-DSGVO-konform eingehalten werden.
• Ist-Zustand im Hinblick auf die aktuellen Prozesse im Unternehmen analysieren, zum Beispiel Dokumentation sowie Betriebsvereinbarungen. Anschließend eine Lückenanalyse zwischen Ist- und Soll-Zustand erstellen und abarbeiten.
• Technische und operative Abläufe prüfen – zum Beispiel bei der Reaktion auf Datenlecks. Wegen der sehr kurzen gesetzlichen Meldefrist von nur 72 Stunden am besten ein Krisenmanagement verankern.
• Vollständiges Verzeichnis von Verarbeitungstätigkeiten erstellen. Dieses Verzeichnis dient als Grundlage für eine strukturierte Datenschutzdokumentation.
• Betrieblichen Datenschutzbeauftragten (DSB) benennen. Dadurch sollte die Koordination der datenschutzrechtlichen Belange des Unternehmens in einer Position verankert werden, sofern noch nicht geschehen. Der DSB kann auch von einem externen Dienstleister gestellt werden.