Gewinnen Sie Rechtssicherheit durch Know-How im Bereich Datenschutz

„Datenschutz und neue Datenschutzgrundverordnung (DSGVO)“

Interview mit Rechtsanwalt Frank A. Keller

Frank Keller

Herr Keller was erwartet uns nächstes Jahr mit der neuen Datenschutzgrundverordnung DSGVO?

Mit der Einführung der Datenschutzgrundverordnung wird die dringend notwendige Vereinheitlichung des Schutzes von personenbezogenen Daten auf europäischer Ebene erreicht. Damit unmittelbar einhergeht, dass die Rechte der Betroffenen, also der Personen, deren personenbezogenen Daten verarbeitet werden, ganz erheblich gestärkt werden. Insgesamt ist davon auszugehen, dass die Einführung der Datenschutzgrundverordnung zu einer europaweiten Anhebung des Niveaus des Schutzes personenbezogener Daten zur Folge haben wird.

Dies wird nicht zuletzt dadurch erreicht, dass umfangreiche Dokumentations- und Informationspflichten eingeführt werden, die das allgemeine Niveau des Datenschutzes europaweit anheben werden. Die Unternehmen müssen nunmehr nachweisen, dass sie die Vorgaben des Datenschutzes bei der Verarbeitung personenbezogener Daten eingehalten haben. Insoweit ist auch davon auszugehen, dass die Beweislast, dass die datenschutzrechtlichen Schutzvorschriften eingehalten werden künftig von den Unternehmen zu tragen ist.

Aufgrund der Tatsache, dass im Rahmen der Datenschutzgrundverordnung bei Verstößen auch sehr schmerzhafte Bußgelder von bis zu € 20.000.000,00 oder auch bis zu vier Prozent des weltweit erzielten Jahresumsatzes und zwar abhängig davon, welche Summe höher ist, angedroht werden, ist dringend anzuraten, dass sich die Unternehmen mit dem Thema Datenschutz auseinandersetzen, auch um solche Bußgelder zu vermeiden.

Wie muss man dann mit personenbezogenen Daten umgehen?

Bei dem Umgang mit den personenbezogenen Daten selbst gibt es zwar auch einige Neuerungen, insbesondere ist es möglich, dass die Betroffenen über die Verarbeitung ihrer Daten zu informieren sind, wenn die gesetzlichen Vorgaben dies erforderlich machen,  meiner Ansicht nach liegt der Schwerpunkt der Neuregelungen aber weniger im Umgang mit den personenbezogenen Daten selbst, als Änderungen in Bezug auf den unternehmensinternen Umgang mit den personenbezogenen Daten.

Absolut neu ist zum Beispiel, dass der Gesetzgeber die Datenverarbeitenden Unternehmen verpflichtet, sowohl Datensicherheit, als auch Datenverfügbarkeit zu gewährleiten. Demnach wird sowohl ein vernünftiges Datensicherungskonzept, als auch eine schnelle Störungsbehebung bei Ausfall von Datenverarbeitungsanlagen den Unternehmen vom Gesetzgeber –bußgeldbewährt - vorgeschrieben.

Weiter wird sich das jeweilige Unternehmen Gedanken darüber machen müssen, in wieweit welche Mitarbeiter Zugriff auf personenbezogene Daten benötigen. Hier sind unter bestimmten Voraussetzungen auch Folgenabschätzungen vorgehsehen, in denen die Risiken für die Betroffenen abgewogen werden müssen.

Die ausgeweiteten und teilweise vollkommen neuen Dokumentations- und Informationspflichten sind ebenfalls bußgeldbewährt und von den Unternehmen zu beachten. Es ist demnach dringend anzuraten, sich diesbezüglich mit den unternehmensinternen Abläufen zu beschäftigen und diese datenschutzrechtlich zu optimieren.

Was bedeutet das für den Datenschutzbeauftragten im Unternehmen?

Gerade auf die Datenschutzbeauftragen kommt durch die Umsetzung der Datenschutzgrundverordnung ein ganz erheblicher Arbeitsaufwand zu. Wegen des Umstandes, dass der Datenschutzbeauftragte die Unternehmensführung auf die Risiken, die durch die Datenschutzgrundverordnung für das Unternehmen entstehen könnten, hinweisen muss, und weiter wird dieser das Unternehmen auch bei der Umsetzung der Datenschutzgrundverordnung im eigenen Unternehmen unterstützen müssen. Hier wird es notwendig sein, dass sich der Datenschutzbeauftragte, sofern er nicht ohnehin aus der IT-Abteilung des Unternehmens stammt, noch besser als bisher mit der IT des Unternehmens verzahnt.

Eine ganze Reihe von erforderlichen Maßnahmen wird sicherlich nur dann erfolgreich umgesetzt werden können, wenn die hausinterne Kooperation zwischen IT-Abteilung und Datenschutzbeauftragen reibungslos funktioniert. Eine ganze Reihe von sinnvollen Maßnahmen wird sich voraussichtlich nur dann umsetzen lassen, wenn die IT-Abteilung die notwendigen Voraussetzungen schafft.

Die Stellung des Datenschutzbeauftragen ändert sich demnach grundsätzlich nicht erheblich, der Arbeitsaufwand und der Beratungsbedarf wird sich aber deutlich ausweiten, schwerpunktmäßig natürlich im Rahmen der Umstellungsphase auf die Datenschutzgrundverordnung, aber auch nach einer entsprechenden Umstellung ist davon auszugehen, dass der Datenschutzbeauftragte mehr Zeit für die datenschutzrechtliche Betreuung im Unternehmen benötigen wird. Auch die Notwendigkeit für Fortbildungen des Datenschutzbeauftragten wird sowohl im Rahmen der Umstellungsphase, als auch im Rahmen der späteren weiteren Betreuung nicht unerheblich ansteigen.

Wie wichtig ist die Verbindung Datenschutz und Industrie 4.0?

Der Begriff Industrie 4.0 ist ein schillernder Begriff, unter dem sehr viele, sehr unterschiedliche Sachverhalte verstanden werden. Grundsätzlich ist im Rahmen von Industrie 4.0 aber natürlich die elektronische Datenverarbeitung zentral, um die jeweiligen unternehmerischen Ziele zu erreichen. Gerade in diesem Bereich ist daher davon auszugehen, dass auf Grund der neuen Dokumentations- und Informationspflichten, des Aufbaus von Systemen zur automatischen Entscheidungsfindung, der zunehmenden Vernetzung, auch und insbesondere im Bereich des „Internet der Dinge“ zahlreiche Vorgänge auch ihre jeweilige datenschutzrechtliche Zulässigkeit zu überprüfen sein werden. Aufgrund der grundsätzlichen EDV-gestützten Datenverarbeitung im Rahmen von Industrie 4.0 ist davonauszugehen, dass sich gerade in diesem Bereich neue Chancen und Risiken auftun, die sorgfältig gegeneinander abgewogen werden müssen.

Inwieweit betrifft das die Vernetzung, die Informationstransparenz und die automatisierte Informationsgewinnung?

Im Rahmen der allgemeinen Vernetzung wird in jedem Fall zu überprüfen sein, wem aus welchem Grund und mit welcher datenschutzrechtlichen Rechtfertigung Daten zur Verfügung gestellt werden können. Insoweit wird auch zu überprüfen sein, ob hier tatsächlich personenbezogene Daten verarbeitet werden müssen, oder ob nicht eine Anonymisierung der Daten vorgenommen werden kann. Im Bereich der Informationstransparenz wird sich insoweit einiges bewegen, da wie bereits erwähnt die Unternehmen verpflichtet sind, die Verarbeitung personenbezogener Daten ordentlich und nachvollziehbar zu dokumentieren.

Auch über „Datenpannen“ wird das Unternehmen in den meisten Bereichen in Zukunft berichten müssen. Die hierfür vorgesehenen Meldepflichten sind teilweise sehr kurzfristig, um nicht zu sagen „sportlich“ und eigentlich nur einzuhalten, wenn sowohl Unternehmensleitung, als auch die Datenschutzbeauftragen entsprechend geschult sind und entsprechende Reaktions- oder Notfallpläne bereits im Vorfeld erstellt wurden. Im Rahmen der automatisierten Informationsgewinnung sind vor allem Transparenzvorgaben zu beachten,  wie eine automatisierte Entscheidungsfindung funktioniert und wie im Rahmen dessen trotz der Automatisierung noch die Rechte der Betroffenen in angemessener Weise berücksichtigt werden.

Weiter ist zu beachten, dass Informationspflichten auch dann eintreten können, wenn durch Verknüpfung und automatisierte Verarbeitung von personenbezogenen Daten neue personenbezogene Daten generiert und verarbeitet werden.

In jedem Fall steht hier für jedes Unternehmen, das mit personenbezogenen Daten umgeht nun dringender Handlungsbedarf, um die neuen Regelungen einzuhalten und die notwendigen Vorkehrungen zu treffen.

Herr Keller, vielen Dank für das Interview.

Gewinnen Sie Rechtssicherheit durch Know-How im Bereich Datenschutz

Informieren Sie sich in unserem Seminar

Gerne bieten wir Ihnen dieses Thema auch als Inhouseseminar und Coaching an.