WiM – Wirt­schaft in Mit­tel­fran­ken, Aus­ga­be 09|2016, Sei­te 20

​Die Daten­schutz-Grund­ver­ord­nung regelt ab 2018 die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten. Unter­neh­men soll­ten sich schon jetzt vor­be­rei­ten.

Gewal­ti­ge Lob­by-Schlach­ten sind wegen der Daten­schutz-Grund­ver­ord­nung (DS-GVO) geführt wor­den. Sie wur­de nun am 4. Mai 2016 im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht und regelt ins­be­son­de­re die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. In Kraft tre­ten wird sie zwar erst am 25. Mai 2018, aber die­se zwei­jäh­ri­ge Über­gangs­zeit soll­ten alle Unter­neh­men inten­siv für die Vor­be­rei­tung nut­zen.

Auch nach dem Abschluss des Gesetz­ge­bungs­ver­fah­rens wird kon­tro­vers über Aus­ge­stal­tung und Bedeu­tung des Regel­werks dis­ku­tiert, das fol­gen­de amt­li­che Bezeich­nung trägt: „Ver­ord­nung (EU) 2016/​679 des Euro­päi­schen Par­la­ments und des Rates vom 27. April 2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/​46/​EG (Daten­schutz Grund­ord­nung)“. Die­se sper­ri­ge Bezeich­nung könn­te sym­bo­lisch ste­hen für die Unsi­cher­heit, mit der Unter­neh­men, Behör­den, Ver­ei­ne, Ver­bän­de und Frei­be­ruf­ler den künf­ti­gen Vor­schrif­ten gegen­über­ste­hen. Denn dar­über, wie die neu­en Nor­men im Detail wirk­lich zu ver­ste­hen bzw. zu voll­zie­hen sein wer­den, wird viel­fach spe­ku­liert. Für mehr Klar­heit sor­gen dürf­ten in den näch­sten Mona­ten Ver­laut­ba­run­gen und Leit­li­ni­en der deut­schen Auf­sichts­be­hör­den und des neu geschaf­fe­nen Euro­päi­schen Daten­schutz­aus­schus­ses. Daten­schutz-Exper­ten sind sich aber einig, dass abschlie­ßen­de Klar­heit in ein­zel­nen Fra­gen – etwa bei den erheb­lich geän­der­ten Nor­men im Bereich der Daten­si­cher­heit – wohl erst im Lau­fe der näch­sten Jah­re durch die Recht­spre­chung des Euro­päi­schen Gerichts­hofs geschaf­fen wer­den wird.

Dies bedeu­tet aber nicht, dass Unter­neh­men erst ein­mal abwar­ten soll­ten. Viel­mehr soll­ten sie schon jetzt ana­ly­sie­ren, in wel­chen Berei­chen sie durch die DS-GVO betrof­fen sein könn­ten. Denn die wesent­li­chen Bestim­mun­gen lie­gen fest: Die DS-GVO regelt vor allem die Art und Wei­se, wie jeg­li­che per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den dür­fen. „Ver­ar­bei­tung“ ist der neue Ein­heits­be­griff, der die bis­he­ri­gen dif­fe­ren­zier­ten Begrif­fe umfasst („Daten erhe­ben, spei­chern, ver­än­dern, über­mit­teln, sper­ren, löschen oder nut­zen“). Als per­so­nen­be­zo­ge­ne Daten gel­ten alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen. Iden­ti­fi­ziert wer­den kann eine Per­son laut DS-GVO, wenn ihr direkt oder indi­rekt ein Name, eine Kenn­num­mer (z.B. Steu­er­num­mer), Stand­ort­da­ten, eine Online-Ken­nung (E-Mail-Adres­se) oder ein oder meh­re­re cha­rak­te­ri­sti­sche Merk­ma­le zuge­ord­net wer­den kön­nen. Die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten muss nicht zwin­gend in der EU selbst statt­fin­den. Viel­mehr erfasst die DS-GVO auch die Daten­ver­ar­bei­tung außer­halb der EU, wenn sie durch einen Ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter mit Sitz in der EU erfolgt.

Wie das bis­he­ri­ge Daten­schutz­recht geht auch die DS-GVO davon aus, dass mit per­so­nen­be­zo­ge­nen Daten nur dann umge­gan­gen wer­den darf, wenn eine Ein­wil­li­gung des Betrof­fe­nen vor­liegt oder wenn eine Rechts­grund­la­ge dies erlaubt oder anord­net.

Daten­ver­ar­bei­tung doku­men­tie­ren

Die Kennt­nis die­ser Rege­lun­gen der DS-GVO reicht für die Unter­neh­men aus, um sich schon jetzt an die wich­tig­sten Vor­be­rei­tungs­ar­bei­ten zu machen. Sie bil­den die Basis, um spä­ter beur­tei­len zu kön­nen, ob der Betrieb die Vor­schrif­ten der DS-GVO ein­hält. Jedes Unter­neh­men soll­te jetzt sehr genau prü­fen, wel­che per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den oder son­sti­gen Geschäfts­part­nern ver­ar­bei­tet wer­den, auf wel­cher Rechts­grund­la­ge die­se Ver­ar­bei­tung erfolgt, zu wel­chem Zweck dies geschieht, an wen Daten über­mit­telt und wann die­se Daten gelöscht wer­den. Eigent­lich sind die ver­ant­wort­li­chen Stel­len auf­grund des gel­ten­den Bun­des­da­ten­schutz­ge­set­zes schon jetzt ver­pflich­tet, ent­spre­chen­de Ver­fah­rens­ver­zeich­nis­se zu erstel­len und zu füh­ren. Aus der Prüf­pra­xis des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht ergibt sich, dass dies von vie­len Unter­neh­men eher als eine lästi­ge For­ma­lie ange­se­hen wird und des­halb als Doku­men­ta­ti­on über die Daten­ver­ar­bei­tung im Unter­neh­men häu­fig nicht aus­rei­chend ist. Nur wer eine der­ar­ti­ge Ver­ar­bei­tungs­über­sicht hat und Daten­be­stand und Daten­flüs­se im eige­nen Unter­neh­men iden­ti­fi­zie­ren kann, wird in der Lage sein, die daten­schutz­recht­li­chen Vor­ga­ben zu erfül­len. Ernst wird es spä­te­stens mit der DS-GVO: Sie ver­pflich­tet die Daten­ver­ar­bei­ter eben­falls, der­ar­ti­ge Ver­fah­rens­über­sich­ten zu füh­ren und die Fol­gen bestimm­ter Maß­nah­men (z. B. Video­über­wa­chung) für den Daten­schutz abzu­schät­zen und zu doku­men­tie­ren. Ver­stö­ße dage­gen unter­lie­gen extrem hohen Sank­tio­nen.

Alle Unter­neh­men soll­ten des­halb für Trans­pa­renz über die Daten­ver­ar­bei­tung im eige­nen Unter­neh­men sor­gen. Nur wenn man weiß, wel­che Daten auf wel­che Art und Wei­se ver­ar­bei­tet wer­den, wird man prü­fen kön­nen, ob die­se Ver­ar­bei­tung in Zukunft unter den Vor­aus­set­zun­gen der DS-GVO noch so mög­lich ist bzw. was gege­be­nen­falls geän­dert wer­den muss. Die zwei­jäh­ri­ge Über­gangs­pha­se bis zum Inkraft­tre­ten der Grund­ver­ord­nung soll­te inten­siv genutzt wer­den. Die­se Zeit­span­ne wer­den vie­le Unter­neh­men brau­chen, um ihre Pro­zes­se anzu­pas­sen und umzu­stel­len. Eine wei­te­re Über­gangs­pha­se nach dem 25. Mai 2018 bzw. eine Schon­frist bei der Prü­fung durch die Auf­sichts­be­hör­den wird es jeden­falls nicht geben.

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht infor­miert über alle Fra­gen zu den Vor­schrif­ten der neu­en DS-GVO. Das Lan­des­amt und alle ande­ren Auf­sichts­be­hör­den sowie die Kam­mern und Ver­bän­de sind dank­bar für Hin­wei­se auf unkla­re Rege­lun­gen oder Umset­zungs­pro­ble­me. Sie hel­fen den Auf­sichts­be­hör­den, offe­ne Fra­gen und unge­lö­ste Pro­blem­fel­der zu erken­nen und – auch in Zusam­men­ar­beit mit den ande­ren zustän­di­gen Behör­den auf deut­scher und euro­päi­scher Ebe­ne – Klar­stel­lun­gen vor­zu­neh­men.

Autor:
Tho­mas Kra­nig (Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach (www​.lda​.bay​ern​.de).