Datenschutz-Grundverordnung: Sind die Unternehmen bereit?
Der Countdown läuft: Die Wirtschaft hat noch knapp vier Monate Zeit, dann müssen die Regelungen der Europäischen Datenschutz-Grundverordnung (DS-GVO), die die Rechte der Bürger an ihren personenbezogenen Daten stärken soll, umgesetzt sein. Verbände und Aufsichtsbehörden haben Leitlinien und Kurzpapiere zur DS-GVO-Umsetzung für Unternehmen erstellt. Dennoch sagen mehrere Studien, dass viele Firmen die DS-GVO bis jetzt entweder gar nicht umgesetzt oder Schwierigkeiten bei der Anwendung der teilweise umfangreichen Vorgaben haben.
Nach vierjährigen Verhandlungen haben der Europäische Rat und das Europäische Parlament im Frühjahr 2016 die EU-Datenschutz-Grundverordnung verabschiedet – am 25. Mai 2018 wird die Verordnung nun anwendbar. Sie ersetzt damit eine aus dem Jahr 1995 stammende Datenschutzrichtlinie. So müssen Unternehmen ab Mai ausdrücklich die Zustimmung der Nutzer einholen, wenn sie personenbezogene Daten verarbeiten wollen. Außerdem setzt die Verordnung ein „Recht auf Vergessenwerden“ und auf Mitnahme der Daten zu einem anderen Anbieter um.
Auch wenn es laut eines Sprechers der Bundesbeauftragten für Datenschutz kürzlich hieß, „keine Behörde wird am ersten Tag ein Millionen-Bußgeld verhängen“, drohen den Unternehmen bei einer Nicht-Umsetzung der DS-GVO grundsätzlich Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes.
Broschüren, Leitlinien und Kurzpapiere
Für die Umsetzung der Vorgaben haben die Unternehmen nun nicht mehr viel Zeit. Um den Unternehmen eine Orientierung bei der richtigen Anwendung des neuen Rechts zu bieten, haben diverse Branchenverbände Broschüren und Praxisleitfäden aufgesetzt. Auch die nach Art. 51 DS-GVO geregelten unabhängigen Aufsichtsbehörden, die für die Überwachung und Anwendung der Verordnung zuständig sind, befassen sich derzeit intensiv mit den neuen Rechtsgrundlagen und stimmen eine gemeinsame Sichtweise ab. Die von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) bereits veröffentlichten Kurzpapiere sowie die von der Artikel-29-Datenschutzgruppe, dem unabhängigen Datenschutz-Beratungsgremium der EU, veröffentlichen Leitlinien dienen als Orientierung, wie die Verordnung nach Auffassung der Datenschutzbehörden in der Praxis angewendet werden soll.
Umfragen zeigen Umsetzungsdefizite
Ob Anbieter einer Gesundheitsapp, Cloud-Anbieter oder Marketingabteilungen – sie alle müssen sich mit den Haftungsregeln der DS-GVO genau auseinandersetzen. Umfragen zum Umsetzungsstand der DS-GVO zeigen allerdings, dass viele Unternehmen dies nicht tun. Eine Studie des Digitalverbands Bitkom befand im September 2017, dass jedes dritte Unternehmen sich noch nicht mit der DS-GVO beschäftigt hatte. Nur 19 Prozent der Unternehmen, die sich zu dem Zeitpunkt mit der DS-GVO befassten, gingen davon aus, dass sie die Vorgaben der Verordnung zum Startdatum im Mai vollständig umgesetzt haben werden.
Laut der Bitkom-Studie fehlen Unternehmen selbst grundlegende organisatorische Voraussetzungen für den Datenschutz. 41 Prozent der 500 befragten Unternehmen geben an, dass sie kein sogenanntes Verfahrensverzeichnis haben, das die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert.
„Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich. Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen eine wichtige Rolle spielen“,
sagt Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit im Bitkom.
Vorbereitung auf Nicht-Compliance
Einer im Dezember veröffentlichten Studie von Proofpoint, Inc. zur Implementierung der DS-GVO in Frankreich, Deutschland und Großbritannien zufolge wüssten zwar viele Unternehmen, dass sie fortschrittliche Informations und Cybersicherheitskontrollen benötigen und dass von ihnen erwartet wird, die DS-GVO einzuhalten.
„Doch da die Verordnung als äußerst komplex wahrgenommen wird, bereiten sich einige lieber auf die Nicht-Compliance vor“, heißt es in der Studie. „Fast ein Viertel der Befragten hat für den Fall einer Sicherheitsverletzung eine Versicherung gegen Datenschutzverletzungen abgeschlossen“.
Laut der Bitkom-Studie wünschten sich 27 Prozent Praxisleitfäden und 16 Prozent Handreichungen von den Aufsichtsbehörden. Auch Susanne Dehmel sagt,
„das Gesetz ist an vielen Stellen vage und den Unternehmen fehlen Vorgaben, wie sie damit umgehen sollen. Konkrete Vorgaben wären hilfreich“.
Seit dem Zeitpunkt der Umfrage sind zu den elf bereits veröffentlichten Kurzpapieren der DSK noch vier weitere Kurzpapiere dazugekommen. Leitlinien der Artikel-29-Datenschutzgruppe wurden bislang zu den Themen Datenschutzbeauftragter, Datenportabilität und federführende Aufsichtsbehörde sowie Datenschutz-Folgenabschätzung veröffentlicht.