Recht auf Vergessenwerden
Neue EU-Datenschutzgrundverordnung: Einheitlich und für alle gültig
Vier Jahre lang heftig diskutiert und debattiert: Im April 2016 wurde die neue EU-Datenschutzgrundverordnung (EU-DSGVO) verabschiedet. Da diese zwei Jahre nach der Veröffentlichung wirksam wird, gelten ab Mai 2018 für alle EU-Länder die gleichen Standards. Davon betroffen sind auch Handwerksbetriebe. Schon jetzt sollten sich Unternehmen mit dem Thema Datenschutz beschäftigen, um zu prüfen, welche Änderungen relevant sind, wo Anpassungsbedarf besteht und welche Ressourcen für die Umsetzung des neuen Standards notwendig sind.
Es war dringend an der Zeit: Die bisherigen Datenschutzregeln stammen aus dem Jahr 1995. Zu weiten Teilen veraltet, wurden sie in den einzelnen Ländern der Gemeinschaft auch unterschiedlich umgesetzt. Mit der Neuerung der Verordnung stellen sich zahlreiche Fragen, z. B: Was bleibt, was verändert sich? Welche Verbesserungen oder Herausforderungen bringt die EU-DSGVO mit sich? Auch wenn es auf diese Fragen noch nicht alle Antworten gibt, steht eines fest: Betroffen sind von den Änderungen alle Personen und Unternehmen.
Regelung mit Durchgriffswirkung
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der neuen Verordnung. Entsprechend heißt es „Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung, verfügt die neue EU-DSGVO über eine Durchgriffswirkung. Diese grundsätzliche Vollharmonisierung ersetzt nationales Datenschutzrecht.
Übergangsfrist und Öffnungsklauseln für nationale Umsetzung
Zwei Jahre, bis etwa Mai 2018, haben die einzelnen Länder Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen gibt es Öffnungsklauseln für den nationalen Gesetzgeber, die es vor Inkrafttreten der EU-DSGVO zu regeln gilt. Die Liste reicht von Gesundheit und Forschung über den Arbeitnehmerdatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des zukünftigen EU-Datenschutzrechts für Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen (im BDSG bisher die verantwortliche Stelle), zählt dazu.
Was ändert sich für Unternehmen?
Ob das EU-Datenschutzgesetz wirklich strenger als das bisherige deutsche Recht ist, wird kontrovers diskutiert. Wie so oft kommt es auf den Blickwinkel des einzelnen Betriebes an. Die EU schraubt an vielen Stellen:
Bußgelder
Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Halten sich Unternehmen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisationsregeln bis zu 2 % des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden. Der Bußgeldkatalog ist bindend. Die Aufsichtsbehörden haben keinen Ermessensspielraum.
Haftung betrieblicher Datenschutzbeauftragter
Da eine nationale Öffnungsklausel existiert, wird Deutschland vermutlich § 4f BDSG übernehmen. D. h., eine Bestellpflicht für einen internen oder externen Datenschutzbeauftragten besteht, wie bisher auch, wenn mehr als neun Mitarbeiter/-innen (unabhängig, ob in Teil- oder Vollzeit) mit personenbezogenen Daten in Kontakt kommen und diese maschinell verarbeiten. Diese Regelung betrifft faktisch alle Betriebe entsprechender Größe, indem sie personenbezogene Daten bearbeiten, beispielsweise Angebote erstellen, Aufträge annehmen und bearbeiten oder ganz simpel die Stunden und Lohnabrechnung ihrer Beschäftigten abwickeln. Zu den bisherigen Aufgaben – Sicherstellungs- und Hinwirkungsauftrag – des Datenschutzbeauftragten wird außerdem ein Überwachungsauftrag hinzukommen. Da der Datenschutzbeauftragte die Umsetzung datenschutzrechtlicher Vorschriften nicht selbst vornehmen kann, konnte er bislang auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz nur hinwirken. Die EU-DSGVO verlangt zukünftig die Überwachung, dass alle Vorgaben und Regeln eingehalten werden. In der Konsequenz haften Handwerksunternehmer und Datenschutzbeauftragte nun auch persönlich.
Nachweispflicht und Unterrichtung
Wie bisher auch müssen Unternehmen wirksame Datenschutzrichtlinien einführen und ihre Beschäftigten schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Änderungsmanagement wird notwendig. Des Weiteren müssen Betriebe betroffene Personen – ergo Kunden und Interessenten, Lieferanten und Geschäftspartner – über die Datenverarbeitung künftig umfassender und früher informieren.
Datenschutz-Folgeabschätzung
Ganz neu ist die Pflicht zur Datenschutz-Folgeabschätzung nicht. § 4d BDSG regelt dies bereits mit der Vorabkontrolle. Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten, sollen so Grundrechtsverletzungen verhindert werden. Die sechs Schutzziele, wie Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, werden nicht nur aus der Unternehmensperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um den Betrieb selbst, der Daten verarbeitet und als Risiko betrachtet wird. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
Weltweite Geltung
Die Datenschutzgrundverordnung soll nicht nur innerhalb der Europäischen Union gelten, sondern weltweit. Auch Unternehmen im Ausland müssen den europäischen Datenschutz einhalten, wenn sie Daten von Personen aus der EU verarbeiten, diesen Personen Waren und Dienstleistungen anbieten.
Neue Rechte für Arbeitnehmer
Datenschutz klingt vordergründig, als müssten Daten geschützt werden. Doch vielmehr geht es um den Schutz all der Personen, welche diese Daten „verursachen“. Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die neue EU-Datenschutzgrundverordnung auch die Rechte der Arbeitnehmer stärkt. Da für den Arbeitnehmerdatenschutz eine nationale Öffnungsklausel existiert, bleibt jedoch abzuwarten, wie die Bundesregierung damit hinsichtlich des Arbeitnehmerdatenschutzes umgeht. Es ist davon auszugehen, dass § 32 BDSG „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ weitestgehend unverändert bleibt. Unternehmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten: Sie sollen beispielsweise von vornherein nur so viele personenbezogene Daten sammeln und verarbeiten, wie es zur Erreichung des Zweckes konkret notwendig ist.
Recht auf Vergessenwerden
„Right to be forgotten“ – das Recht auf Vergessenwerden. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen. Auch der Empfänger, an den ein Unternehmen Daten weitergegeben hat, muss über eine Löschung informiert werden.
Datenportabilität
Ein weiteres neues Recht stellt die Datenportabilität dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Für Unternehmen wird die Umsetzung dieser Regelung sicherlich aufwendig und auch teuer werden. Die Datenportabilität gilt auch, wenn beispielsweise ein Arbeitsverhältnis endet.
Koppelungsverbot
Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass die betroffene Person in die Verarbeitung der Daten einwilligt. Dies betrifft vor allem das gängige Procedere „Dienst gegen Daten“.
Was können Unternehmen jetzt schon machen?
Unabhängig davon, wie Bestimmungen mit Öffnungsklauseln in der nationalen Umsetzung konkret ausformuliert werden, führt an den zum Teil verschärften Regelungen kein Weg vorbei. Ob Ein-Mann-Handwerks-Betrieb oder größerer Mittelständler – damit ein Unternehmen im Mai 2018 seine Tätigkeiten im Rahmen der Vorgaben des Datenschutzes richtig durchführt, empfiehlt es sich, die betroffenen Bereiche entsprechend zu analysieren und notwendige Maßnahmen rechtzeitig einzuleiten. Betroffene Bereiche sind z. B. vom Abrechnungs- bis zum Warenwirtschaftssystem, von der Kameraüberwachung im Lager bis zu Notebook, Smartphone, Digitalkamera oder Navigationsgerät im Baustellenfahrzeug.
Autorin: Regina Mühlich, Inhaberin von AdOrga Solutions, www.adorgasolutions.de, in München, ist als externe Datenschutzbeauftragte und Managementberaterin tätig.
Das Wichtigste auf einen Blick
- Nutzer erhalten das Recht, Informationen leichter wieder löschen zu lassen („Recht auf Vergessenwerden“) und Daten von einem Anbieter zum nächsten mitzunehmen („Portabilität“).
- Zugleich wird das Alter, ab dem man sich bei Online-Netzwerken wie Facebook oder WhatsApp anmelden darf, in einigen europäischen Ländern von 13 auf 16 Jahre steigen.
- Internet-Konzerne wie Google, Facebook & Co müssen sich die Zustimmung zur Datennutzung ausdrücklich einholen und ihre Produkte datenschutzfreundlich voreinstellen („Privacy by Design“). Daran sind nicht nur europäische Unternehmen gebunden, sondern beispielsweise auch US-Firmen.
- Bei Verstoß gegen die Datenschutzregeln können gegen Unternehmen Strafen von bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.
Nachgefragt
IKZ-HAUSTECHNIK: Was ist im Umgang mit Personalakten in Bezug zur Datenschutzgrundverordnung zu beachten?
Regina Mühlich: Der Arbeitgeber ist verpflichtet, die Personalakten sorgfältig zu verwahren, bestimmte Informationen nach § 3 Abs. 9 BDSG verstärkt zu schützen und vertraulich zu behandeln. Die Personalakte soll möglichst vollständig sein und ein wahrheitsgemäßes Bild über die persönlichen und dienstlichen Verhältnisse des Arbeitnehmers wiedergeben. In erster Linie umfasst dies alle Unterlagen, welche das Beschäftigungsverhältnis betreffen, beispielsweise Bewerbungsunterlagen, Eignungstests, ärztliche Gutachten, Berufsausbildung, Fortbildungsnachweise, Fähigkeiten, Beurteilungen sowie Abmahnungen. Der Kreis derer, die innerhalb des Unternehmens Zugriff auf die Personalakten hat, muss auf das Nötigste beschränkt sein. Auf die besonders vertrauliche Behandlung ist hinzuweisen und entsprechend zu schulen. Zur
Schulung sind die Betriebe übrigens gesetzlich verpflichtet. Das gehört zu den Aufgaben des Datenschutzbeauftragten. Die Form der Schulung (Training vor Ort, Webinar) ist nicht genau definiert – im Gesetz heißt es nur „durch geeignete Maßnahmen“. Empfehlenswert ist meiner Meinung nach die Präsenzschulung, weil hier die Mitarbeiter am meisten mitnehmen.
IKZ-HAUSTECHNIK: Und wenn der Beschäftigte den Betrieb verlässt?
Regina Mühlich: Keinesfalls dürfen die Unterlagen des Beschäftigten „einfach so“ entsorgt werden. Zunächst sind die Aufbewahrungsfristen von bis zu zehn Jahren zu beachten. In dieser Zeit ist der Handwerksbetrieb verpflichtet, alle entsprechenden Unterlagen zu archivieren und entsprechend die Zugriffsrechte einzuschränken bzw. die Unterlagen zu sperren. Nach Ablauf der jeweiligen Aufbewahrungsfrist muss auf eine „sichere“ Vernichtung der Daten geachtet werden. Neben dem Schreddern der Papierakten, gibt es hierzu auch spezielle Verfahren zur spurenlosen Löschung elektronischer Unterlagen.
IKZ-HAUSTECHNIK: Sie unterstützen Unternehmen bei ihrer täglichen Arbeit, die Datenschutzanforderungen einzuhalten. Wie sieht der Ablauf dieser Arbeit aus und wie lange dauert ein solcher Prozess?
Regina Mühlich: Diese Frage kann nicht pauschal beantwortet werden. Es kommt auf eine Fülle von Faktoren an, die berücksichtigt werden müssen. Welche Dokumentationen sind vorhanden und wenn ja, in welcher Qualität? Gibt es einen internen Datenschutzbeauftragten und über welche Fachkunde und Erfahrung verfügt er. Auch hängt der Zeitaufwand von der Anzahl der involvierten Personen, Abteilungen oder angegliederten Niederlassungen ab. Je komplexer die Struktur eines Betriebes und je mehr Ansprechpartner, desto mehr Zeit muss hier investiert werden.
Die Frage nach der Vorgehensweise ist einfacher zu beantworten. Es kommt darauf an, mit allen am Prozess beteiligten Stakeholdern zu sprechen und die Ist-Situation umfassend aufzunehmen. Es gilt zudem, die gesetzlichen Anforderungen und Richtlinien herauszuarbeiten. Erst dann kann seriös über mögliche Umsetzungsvarianten, Variablen, Szenarien und konkrete Maßnahmen gesprochen werden. Erst nach diesem Prozessschritt können dezidierte Empfehlungen für das weitere konkrete Vorgehen, über Zeiten, Kosten etc. gegeben werden. Einer meiner Lieblingssätze verdeutlicht dies. Er ist zentrales Leitmotiv für meinen Service am Kunden: „Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.“ Und wie wir ja aus dem prozessorientierten Projektmanagement wissen: „Ein Schritt nach dem anderen.“