Sie sind hier: HomeTelekommunikation

Expertentipps: EU-DSGVO - höchste Zeit zu handeln

Stichtag ist der 25. Mai 2018: Dann wird die DSGVO die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten verdrängen. Ob verschärfte Wahrung von Betroffenenrechten oder massiv erhöhte Bußgelder – die DSGVO bedeutet für Organisationen vor allem viel Vorarbeit in punkto Implementierung.

Zeit Bildquelle: © PARIWAT INTRAWUT - 123RF

BDSG 2018: Der „einfachere deutsche Weg“?

Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der Datenschutz-Grundverordnung (DSGVO) verfolgte. Doch die erwünschte EU-weite Vereinheitlichung des Datenschutzrechts wurde nicht in allen Punkten konsequent umgesetzt. Denn die neue DSGVO beinhaltet rund 60 sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen. Diese Möglichkeit hat der Deutsche Bundestag auch genutzt und Ende April einen entsprechenden Entwurf verabschiedet: das DSAnpUG-EU („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“). Der Deutsche Bundesrat hat dem Gesetzentwurf in seiner Sitzung vom 12. Mai ebenfalls seine Zustimmung gegeben. Damit wird das DSAnpUG-EU pünktlich zum 25. Mai 2018 – also dem DSGVO-Stichtag – in Kraft treten und das bisherige Bundesdatenschutzgesetz durch ein vollständig reformiertes „BDSG 2018“ ersetzen.

Aus unternehmerischer Sicht stellt sich die Frage, inwieweit das „BDSG 2018“ datenschutzrechtliche Verpflichtungen aus der DSGVO relativiert und somit den Ressourcen- und Kostenaufwand für deutsche Unternehmen senken könnte. Fest steht schon jetzt: Den „einfacheren deutschen Weg“ gibt es in der Form nicht. Kurzfristige Änderungen des Gesetzesentwurfs der Bundesregierung haben dazu geführt, dass beispielsweise die geplante Einschränkung der Transparenzpflichten und Betroffenenrechte wieder ein gutes Stück zurückgenommen wurde: Beim Recht auf Löschung wurde die von der Bundesregierung beabsichtigte Ausnahme bei „unverhältnismäßig hohem Aufwand“ auf Fälle nicht-automatisierter Datenverarbeitung begrenzt. Bei den Informationspflichten können sich verantwortliche Stellen ebenfalls nicht mehr auf einen „unverhältnismäßigen Aufwand“ berufen. Auch hier zielt die überarbeitete Formulierung darauf ab, ausschließlich kleine Unternehmen mit noch analoger Datenverarbeitung zu entlasten.

Unsere Empfehlung: Großen Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die Bestimmungen der DSGVO über weite Strecken eins zu eins umsetzen. Die Vorteile eines klaren Bekenntnisses zum „Gold-Standard“ der DSGVO liegen auf der Hand: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutz-Ansatz. Nichtsdestotrotz entscheidet am Ende der Einzelfall, ob und in welchem Ausmaß eine Nutzung von Ausnahmetatbeständen im BDSG 2018 unternehmerisch sinnvoll ist. Dies gilt sowohl für große Unternehmen als auch für KMUs.

Was sind die wesentlichen Kernpunkte der neuen DSGVO?

Der Accountability-Ansatz: Jede verantwortliche Stelle muss den Nachweis erbringen können, dass sie personenbezogene Daten rechtskonform nach den Vorgaben der DGSVO verarbeitet. Das bedeutet einen erheblich gestiegenen Dokumentationsaufwand im Vergleich zum bisherigen Bundesdatenschutzgesetz. Erfolgt der Nachweis nicht, müssen Unternehmen mit Bußgeldern rechnen und erhöhen gleichzeitig das Risiko, sich gegenüber Betroffenen schadensersatzpflichtig zu machen.

Unsere Empfehlung: Ohne Datenschutzmanagementsystem ist die Nachweis-Pflicht nicht professionell zu meistern. Wer sich eher früher als später mit der Einführung eines solchen Managementsystems auseinandersetzt, vermeidet erhebliche Haftungsrisiken gleich von Beginn an. Außerdem spielt die Erfüllung der Rechenschafts- und Dokumentationspflicht bei Prüfungen durch die Aufsichtsbehörden oder Prüfdienstleister eine wichtige Rolle.