Unternehmen müssen in Zukunft dafür Sorge tragen, dass kein Zugriff durch Dritte mehr möglich ist. © Kaiser+Kraft

Mit der am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (EU-DSGVO) werden Unternehmen vor eine Reihe neuer Anforderungen gestellt. Die datenschutzbezogenen Herausforderungen wachsen. Dies betrifft einige rechtliche und technische Fragen. Viele Unternehmen sind bislang nicht DSGVO-ready. Hier ist rasches Handeln erforderlich, denn bei mangelnder Konformität mit den Anforderungen drohen hohe Bußgelder. Die Verordnung bezieht sich nicht nur auf digitale, sondern auch auf physische Daten wie etwa Papierdokumente.

Überblick und Allgemeines zur EU-DSGVO

Das übergeordnete Ziel der neuen EU-Datenschutzgrundverordnung liegt in der Gewährleistung eines vereinheitlichten Datenschutzrechts für die EU. Dies soll die Rechtsposition derer unterstützen, die von Lücken im Datenschutzrecht betroffen sind. Die EU-DSGVO stellt eine umfassende Verordnung dar, die Unternehmen vor einige Herausforderungen stellt. Das Thema sorgt insbesondere aufgrund der hohen angekündigten Bußgelder bei Verstoß für kontroverse Diskussionen. Bis zu vier Prozent des Jahresumsatzes (höchstens jedoch 20 Millionen Euro) an Bußgeldforderungen droht Unternehmen, die sich nicht an die Maßgaben der Verordnung halten. Der längerfristige Imageschaden neben diesen finanziellen Belastungen ist dabei noch nicht berücksichtigt. Für Medien sind Lücken im Datenschutz ein besonders gerne aufgegriffenes Thema. Daher ist davon auszugehen, dass insbesondere nach dem Erlass der neuen Grundverordnung intensiv nach bestehenden Lücken gesucht wird. Unternehmen sind daher gut beraten, rechtzeitig erforderliche Maßnahmen zu treffen, um mit den neuen Anforderungen mitzuhalten.

Besonders zu berücksichtigen ist, dass die EU-DSGVO auch für solche Unternehmen Geltung haben kann, die nicht in der EU ansässig sind. Maßgebliche Voraussetzung für den Geltungsbereich ist, dass ein Unternehmen Daten von EU-Bürgern erhebt.

Herausforderungen und Schritte für Unternehmen:

• Sowohl technisch und organisatorisch als auch und insbesondere rechtlich stellt die neue Grundverordnung Firmen vor einige neue Anforderungen.
• Betroffen sind sämtliche Unternehmen, die mit personenbezogenen Daten arbeiten
• Dazu gehören etwa Kunden- und Mitarbeiterdaten, aber auch IP-Adressen
• Die Informations- und Transparenzpflichten nehmen zu
• auch die Datensicherheit steht im Fokus
• bei Schwachstellen wie fehlender Verschlüsselungen droht Bußgeld
• IT-Systeme müssen modernsten Standards genügen
• Datenschutz muss schon in der Entwicklung von Produkten und Dienstleistungen berücksichtigt werden

Im Hinblick auf die personenbezogenen Daten und deren Erhebung und Nutzung durch Unternehmen ist es ausschlaggebend, ob sie zur Identifikation natürlicher Personen geeignet sind. Es handelt sich um einen sehr umfassenden Anwendungsbereich. Neben Kunden-, Mitarbeiter- und Geschäftspartner-Daten sind auch IP-Adressen betroffen. Zu den Informationspflichten gehört es, die betroffenen Kunden, Mitarbeiter und andere Personen erheblich umfassender als bisher informieren. Dies betrifft insbesondere die Fragen, wie Daten erhoben und genutzt werden. Ebenso haben Unternehmen ihre Kunden darüber zu informieren, welche Rechte sie gegenüber dem Unternehmen geltend machen können.

Im Hinblick auf die Datensicherheit ist insbesondere das Bußgeldrisiko zu berücksichtigen. Schon unentdeckte Schwachpunkte wie etwa eine veraltete Verschlüsselungstechnologie fallen unter bußgeldpflichtige Verstöße. Sämtliche technischen und organisatorischen Maßnahmen sind dem aktuellen Stand der Technik anzupassen. Das heißt im Klartext, dass technische Innovationen im Hinblick auf Datensicherheit von Unternehmen besonders wichtig sind. Unter anderem impliziert dies die Sicherheit und Belastbarkeit der vom Unternehmen genutzten IT-Systeme.

Die Forderung, Datenschutz bereits in der Produktentwicklung zu berücksichtigen, beinhaltet, dass Softwarelösungen nur das Minimum an Daten erheben, die für den reibungslosen Betrieb erforderlich sind.

Verpflichtende Datenvernichtung gemäß EU-DSGVO

Gemäß Artikel 6 DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich untersagt. Solche Daten dürfen ausschließlich unter Vorliegen einer ausdrücklichen Ausnahme von diesem Verbot genutzt und gespeichert werden. Dies setzt einen rechtlichen Grund voraus, die Daten zu verarbeiten. Dies bedeutet gleichermaßen, die Daten zu löschen, sobald die Ausnahme nicht mehr vorliegt beziehungsweise die Aufbewahrung nicht mehr ausdrücklich durch ein Gesetz gefordert ist.

Davon betroffen sind nicht nur digital erhobene Daten, sondern auch und insbesondere physisch vorliegende Daten. Was etwa in Papierform vorliegt, ist nur mit einem Aktenvernichter gesetzeskonform zu entsorgen. Es genügt nicht, die Unterlagen ohne Vernichtung im Müll zu entsorgen. Unternehmen müssen dafür Sorge tragen, dass kein Zugriff durch Dritte mehr möglich ist. Eine einfache Entsorgung im Papierkorb wäre daher fahrlässig. Ein Aktenvernichter gewährleistet, dass sich der Inhalt der Papierdokumente nicht mehr nachvollziehen lässt.

Fazit

Die zum 25. Mai 2018 in Kraft tretende EU-DSGVO stellt jedes Unternehmen, das mit personenbezogenen Daten arbeitet, vor neue Pflichten hinsichtlich Datenschutz und -sicherheit. Zwar lassen die Rechtsgrundlagen einen gewissen Raum für Datenerhebung und Verarbeitung. Doch steigen die Anforderungen dennoch und bei Verstoß drohen empfindliche Bußgelder. Daher sind Unternehmen gut beraten, sich innerhalb der Fristen für die Datenschutzgrundverordnung fit zu machen. (red.)