Schärfere Vorgaben beim Datenschutz ab Mai 2018

Die neuen Datenschutzrichtlinien gemäß der DS-GVO betreffen alle Unternehmen gleichermaßen. Überall, wo zur Erledigung von Aufträgen personenbezogene Daten erhoben und gespeichert werden, ist künftig noch mehr Sorgfalt gefragt. Ein wesentlicher Aspekt der Neuregelung ist die Verschärfung der sogenannten Rechenschafts- oder Nachweispflicht. So müssen Unternehmen künftig jederzeit nachweisen können, dass sie verwendete Daten rechtmäßig verarbeiten. „Ein solcher Nachweis kann beispielsweise über entsprechende Einwilligungen oder Verträge mit dem jeweiligen Kunden erbracht werden", erläutert Timo Gehle, Leiter IT-Strategie, IT-Sicherheit & Datenschutz im Consulting der DATEV eG. Im Rahmen seiner Tätigkeit nimmt er auch die Aufgabe des externen Datenschutzbeauftragten für Steuerberatungskanzleien und Unternehmen wahr und kennt daher die mit Datenschutz-Fragen verbundenen Probleme aus seiner täglichen Praxis.

Rechenschafts- und Nachweispflicht

Darüber hinaus gelten von Mai an grundsätzlich schärfere Bestimmungen für den Umgang mit personenbezogenen Daten. „Sie dürfen überhaupt nur für bestimmte und festgelegte Zwecke erhoben und verarbeitet werden", so Gehle. „Außerdem müssen Unternehmen sicherstellen, dass falsche Daten unverzüglich berichtigt oder gelöscht werden." Daten, die nicht mehr benötigt werden, sind ebenfalls sofort zu löschen. Darüber hinaus gilt für personenbezogene Daten, dass sie über technisch-organisatorische Maßnahmen angemessen gegen unrechtmäßige Verarbeitung geschützt und vor unbeabsichtigtem Verlust oder Zerstörung gesichert sein müssen. Verstöße gegen die Rechenschaftspflicht können Unternehmen bis zu vier Prozent ihres Jahresumsatzes (maximal 20 Millionen Euro) kosten.

Der gleiche Bußgeldrahmen gilt auch bei Verstößen gegen die sogenannten Betroffenenrechte. „Dazu zählen die Informationspflicht des Unternehmens, das Auskunftsrecht des Betroffenen sowie – je nach Situation – sein Recht auf Berichtigung oder Löschung", fasst Datenschutz-Experte Timo Gehle zusammen. „Deshalb ist es in diesem Bereich unbedingt nötig, entsprechende Prozesse aufzusetzen und nachvollziehbar zu dokumentieren."

Datenpannen zügig melden

Klar definiert ist in der DS-GVO der Umgang mit Datenpannen. Diese müssen binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ebenso sind die potenziell Betroffenen unverzüglich zu informieren. „Diese Verpflichtung können Unternehmen nur einhalten, wenn sie dafür spezielle Mechanismen etabliert haben", stellt Gehle fest. „Darüber muss sich unmittelbar nach Bekanntwerden einer Datenpanne feststellen lassen, wer von der Panne betroffen ist und ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht." Darüber hinaus muss im Prozess definiert sein, wie der Vorfall anschließend dokumentiert wird und wie sichergestellt ist, dass die Meldung an die Aufsichtsbehörde im vorgegebenen Zeitrahmen erfolgt. Unternehmen, die gegen die Vorgaben verstoßen, können mit einem Bußgeld von bis zu zwei Prozent ihres Jahresumsatzes (maximal 10 Millionen Euro) belegt werden.

Datenschutzbeauftragter wird noch wichtiger

Nach wie vor müssen Unternehmen, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten (DSB) benennen. Dessen Position wird sogar gestärkt: Sollte er bislang auf die Einhaltung der datenschutzrechtlichen Regeln im Betrieb hinwirken, ist er künftig dafür zuständig, diese Einhaltung zu überwachen. Damit die Beauftragten diese neue Aufgabe ausfüllen können, sollten Unternehmen verstärkt auf deren entsprechende Aus- und Fortbildung achten. „Vor dem Hintergrund der verschärften Regelungen empfiehlt sich, die Qualifikation des DSB noch einmal zu überprüfen", betont Timo Gehle und ergänzt: „Ab Mai 2018 müssen die Kontaktdaten des Datenschutzbeauftragten auch öffentlich zugänglich gemacht und den Aufsichtsbehörden gemeldet werden."