Aktuelle Compliance-Themen im Datenschutzrecht

Erster Geburtstag der DSGVO


Aktuelle Compliance-Themen im Datenschutzrecht: Erster Geburtstag der DSGVO Comment

Die EU-Datenschutz-Grundverordnung (DSGVO) trieb in den vergangenen zwei Jahren insbesondere Compliance-Abteilungen Schweiß auf die Stirn. Denn ihr Pflichtenkatalog zum Umgang mit personenbezogenen Daten musste bis zum 25. Mai 2018 umgesetzt sein. Andernfalls drohen Unternehmen hohe Geldbußen. Der Aufwand war nicht umsonst. Wer die Anforderungen noch nicht oder unvollständig umgesetzt hat, lebt riskant. Die Aufsichtsbehörden haben erste Geldbußen verhängt und die Einschläge kommen näher. Nun ist die Verordnung schon ein Jahr alt. Wir nehmen den Geburtstag zum Anlass, um die wichtigsten Entwicklungen im Datenschutzrecht für Risikobewertung und Compliance zu untersuchen und in die Glaskugel für kommende Compliance-Themen zu schauen.

Datenschutzrecht im Zeitalter der DSGVO

In der Öffentlichkeit standen bislang Themen wie lästige E-Mail-Einwilligungserklärungen, das Abnehmen der Namen von Klingelschildern und das Verbot von Fotos im Kindergarten im Vordergrund. Sieht man von diesen öffentlich diskutierten und eher skurrilen Fällen ab, hat die DSGVO das Datenschutzrecht substantiell verändert.

Sie gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass es nationale Gesetze zur Umsetzung braucht. Trotz einiger Öffnungsklauseln, wie zum Beispiel im Arbeitsrecht, bei denen die Mitgliedstaaten ihre eigene Regelung im Detail umsetzen können, treibt die EU mit der Verordnung die Harmonisierung im Datenschutzrecht voran. Das ist angesichts globaler Innovationen in der Technologie der einzig richtige Ansatz. Auch andere Staaten, wie Japan oder US-Bundesstaaten, wie Kalifornien, nutzten die EU-Verordnung im Datenschutzrecht als Schablone. Peter Schaar, der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, betont deshalb zu Recht den Erfolg der DSGVO für den Datenschutz weltweit und lobt die Ausstrahlungskraft des europäischen Datenschutzmodells.

Auch inhaltlich macht die DSGVO viele Angebote, die Unternehmen annehmen sollten, um gewappnet in die Zukunft zu gehen. So sollte der Begriff "Privacy by Design" mittlerweile in Compliance- und Technologie-Abteilungen bekannt sein. Indem Unternehmen den Datenschutz bereits bei der Entwicklung von neuen Technologien und neuen Programmen berücksichtigen und in die Produkte einbauen, lässt sich das Thema Datenschutz von Anfang an positiv aufladen.

Risikofaktor Geldbußen bei Verstößen gegen die DSGVO

Für Unternehmen ist im Jahr zwei der DSGVO insbesondere wichtig, zu wissen, wo das größte Konfliktpotential droht und wo sie potenzielle Ansprüche vermeiden können.

Das Thema, das aus Compliance-Sicht wohl am meisten Zähneknirschen verursacht hat, war die Androhung hoher Geldbußen: Bei Verstößen gegen die DSGVO kann die Datenschutzbehörde eine Geldbuße in Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes verhängen. Tatsächlich langte die französische Datenschutzbehörde CNIL gegen Google einmal richtig zu: 50 Millionen Euro kostet Google die Verletzung von Datenschutzgrundsätzen, insbesondere des Transparenzgrundsatzes.

In Deutschland ließen es die Datenschutzbehörden beim Thema Bußgelder bislang deutlich ruhiger angehen. Die Aufsichtsbehörden erließen im ersten Jahr der DSGVO 100 Bußgeldbescheide mit einer Gesamtsumme von rund 500.000 Euro. Die höchste bekannte Geldbuße – 80.000 Euro – verhängte die Baden-Württembergische Aufsicht für die Veröffentlichung von Gesundheitsdaten im Internet. Auf der Seite www.enforcementtracker.com lassen sich aktuelle Entscheidungen der Aufsichtsbehörden nachverfolgen. Es ist zu erwarten, dass die Datenschutzbehörden jetzt Fahrt bei Untersuchungen und Bußgeldverfahren aufnehmen werden.

An den Gründen für die bisherigen Geldbußen lässt sich eine Tendenz ablesen, welche Bereiche im Visier der Behörden liegen und wo Unternehmen besonders gründlich arbeiten sollten, um Strafen zu vermeiden. So griffen die Datenschutzbehörden insbesondere unzureichende technische und organisatorische Sicherheitsmaßnahmen gegen Hackerangriffe auf Kredit- und Kundendaten sowie auf Passwörter an, aber auch die unberechtigte Offenlegung von Gesundheitsdaten oder von Kontoauszügen und E-Mail-Adressen. Diese Fälle zeigen, dass Datensicherheit mit der DSGVO einen noch höheren Stellenwert gewonnen hat. Die Sicherheitsmaßnahmen müssen ein Schutzniveau gewährleisten, das dem Risiko für die betroffenen Daten angemessen ist – dabei kommen Maßnahmen wie die Pseudonymisierung und die Sicherstellung der Vertraulichkeit und Verfügbarkeit in Frage. Generell müssen Unternehmen den Grundsatz der Datenminimierung beachten: Jede Datenverarbeitung muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein und nur diejenigen Personen dürfen Zugriffsrechte erhalten, die bestimmungsgemäß mit der Datenverarbeitung in Berührung kommen (sogenanntes "Need-to-know-Prinzip").

Compliance-Thema Betroffenenrechte

Ein Thema, das in nächster Zeit mehr Bedeutung erlangen wird, ist die Umsetzung von Betroffenenrechten. Dazu zählen zum Beispiel das Auskunftsrecht, das Recht auf Löschung – auch bekannt als "Recht auf Vergessenwerden" –, oder das Recht auf Datenübertragbarkeit. Diese Themen sind auf dem Papier leicht verständlich. Aber: In der Praxis ist ihre Umsetzung zum Teil noch ungeklärt. Unternehmen werden nicht umhinkommen, die Vorgaben der DSGVO in standardisierte Prozesse zur Durchsetzung der Betroffenenrechte zu gießen.

Beispiel Auskunftsanspruch: Die DSGVO sieht einen nahezu unbeschränkten und unüberschaubaren Auskunftsanspruch zu Datenarten, Verarbeitungszwecken und Dauer der Datenspeicherung vor. Dieser kann vor allem im Arbeitsverhältnis zu massiven Problemen führen, wenn der Arbeitnehmer Auskunft zu sämtlichen zu ihm gespeicherten Daten erhalten möchte. So urteilte das Landesarbeitsgericht Baden-Württemberg, dass der Auskunftsanspruch weitreichend ist und auch Whistleblower-Daten umfassen kann. Dieses Ergebnis kann für das wichtige Institut des Whistleblowing-Systems zur Gefahr werden. Das Landgericht Köln geht in die entgegengesetzte Richtung: In einem aktuellen Urteil hält es fest, dass der Zweck des Auskunftsanspruchs nicht die vereinfachte Buchführung des Betroffenen sei. Vielmehr solle der Auskunftsanspruch den Betroffenen in die Lage versetzen, Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen zu können.

Unternehmen sollten vor allem zwei Handlungsempfehlungen folgen, um heute und in Zukunft den Vorgaben der DSGVO zu genügen: Erstens sollten sie ihre Sicherheitsmaßnahmen zum Schutz von Kunden- und Arbeitnehmerdaten prüfen und aktualisieren. Zweitens müssen sie für Betroffenenrechte, wie das Auskunftsrecht und das Recht auf Datenportabilität, standardisierte Verfahren entwickeln, um diese Rechte systematisch umzusetzen und der Rechenschaftspflicht zu genügen.

Autor

Dr. René Sandor ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Deutschland. Er berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.

[ Source of cover photo: Adobe Stock | Autorenportrait René Sandor: CMS Deutschland ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.