"Schon wieder eine neue Regulierung", dürften sich viele Unternehmen denken. Doch es gibt gute Gründe für die neue EU-Datenschutz-Grundverordnung (EU-DSGVO); sie selbst listet mehr als 170 Erwägungsgründe auf. Dazu zählen der Schutz von EU-Bürgern bei der Verarbeitung personenbezogener Daten unabhängig von Staatsangehörigkeit oder Aufenthaltsort sowie die Harmonisierung der Vorschriften.
Tatsächlich gab es bisher einen Flickenteppich unterschiedlicher Datenschutzgesetze in den verschiedenen EU-Mitgliedstaaten. Dieser führte zu einem regelrechten Negativ-Wettbewerb, sodass sich Unternehmen in Ländern mit vergleichsweise schwachen Datenschutzregelungen niederlassen und trotzdem von den Vorteilen des uneingeschränkten EU-Handels profitieren konnten.
Die EU-DSGVO wird das europäische Datenschutzrecht nun vereinheitlichen, auch wenn es in vielen Bereichen, bedingt durch zahlreiche Öffnungsklauseln, weiterhin unterschiedliche nationale Regelungen geben wird. Daher wird gleichzeitig also auch ein neues Bundesdatenschutzgesetz (BDSG) erforderlich, das diese zahlreichen Öffnungsklauseln umsetzt. Zudem sollen die Befugnisse der Datenschutz-Behörden vor allem gegenüber international tätigen Konzernen gestärkt werden. Dies zeigen zum Beispiel die vergleichsweise hohen Bußgelder, die mit dem Strafmaß von Kartell- und Wettbewerbsverstößen vergleichbar sind. Eine mögliche Verhängung von 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes stellt selbst für große, US-basierte Internet-Unternehmen ein erhebliches Risiko dar.
Alle Unternehmen betroffen
Doch nicht nur Facebook, Google, Microsoft, Amazon und Co. sind von den neuen Regelungen betroffen. Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten, müssen sich daran halten. Die EU-DSGVO beschreibt dabei ein vollständig neues Datenschutzrecht, das aber durchaus viel Ähnlichkeit mit bisherigen Regelungen aufweist. Trotz dieser Ähnlichkeiten müssen Unternehmen ihre Compliance-Maßnahmen jedoch komplett neu aufbauen.
Insbesondere ist dabei zu beachten, dass die Rechtspositionen Betroffener deutlich ausgebaut werden. Die EU-Bürger erhalten zum Beispiel "ein Recht auf Vergessen", also das Löschen von veralteten Daten beziehungsweise ihrer Ansicht nach zu Unrecht erhobenen oder falschen Informationen. Zudem ist auf Anfrage die vollständige Transparenz zu gewährleisten. Dies bedeutet, dass die Kette der Verarbeitung der Daten aufgezeigt werden muss, also bei wem sich welche personenbezogenen Daten befinden, wie diese genutzt wurden und auch weitergegeben werden.
Damit muss das Unternehmen nicht nur den eigenen Umgang mit diesen Daten prüfen, sondern auch von allen Dienstleistern und Partnern, die solche Informationen bearbeiten oder speichern. Dies gilt unabhängig davon, wo sich diese befinden, da nicht der Ort entscheidend ist, sondern die Tatsache, dass es sich um Daten von EU-Bürgern handelt (das sogenannte Marktortprinzip). Auch die Datenportabilität muss gewährleistet sein, also die Übertragung der personenbezogenen Informationen von einem zu einem anderen Anbieter. Diese Vorgaben führen zu einem veränderten Haftungsgefüge zwischen Unternehmen und Dienstleistern.
Durch den insgesamt höheren Compliance- und IT-Risikoansatz wird auch ein stärkeres Risikomanagement mit Datenschutzfolgenabschätzung nötig. Welche Datenschutzrisiken betreffen mein Unternehmen und neu auch den Betroffenen, wie sind diese Risiken zu bewerten und welche Maßnahmen müssen umgesetzt werden? Denn mussten die technischen und organisatorischen Maßnahmen bisher in angemessener Weise erfolgen, so ist nun der "Stand der Technik" die gesetzliche Maßgabe.
Herausforderungen und Chancen
Dies führt zu einigen großen konkreten Herausforderungen. So sind die bisherigen Verträge für die Auftragsdatenverarbeitung (ADV) mit den Dienstleistern an die neuen Regelungen anzupassen beziehungsweise neu zu schließen. Dies gilt nicht nur für den Umgang mit personenbezogenen Daten, sondern auch für den erweiterten Anwendungsbereich des Datenschutzrechts außerhalb der EU, soweit Dienstleistungen in Zusammenhang mit personenbezogenen Daten von EU-Bürgern erbracht werden. Auch die bisherigen Verfahrensbeschreibungen sind zu überarbeiten, da die Dokumentationspflichten erweitert und die Betroffenenrechte ausgedehnt wurden.
Gerade hier führt die EU-DSGVO nicht nur zu höheren Anforderungen, sondern auch zu Erleichterungen. Zum Beispiel reicht nun ein einfaches Popup-Fenster zur Abfrage beim Nutzer, ob er dem Einsatz von Cookies zustimmt, anstelle des bislang vorgeschriebenen Sammelns von Daten nach dem Listenprivileg. Unternehmen können nun durch teils vereinfachte Datenschutzvorgaben auch die Effizienz ihrer Marketingmaßnahmen erhöhen. Im Bereich Kundenmanagement (CRM) lassen sich neue, schlankere Prozesse einführen. So lohnt es sich, die Regelung genau zu prüfen, nicht nur zur Vermeidung von Compliance-Problemen, sondern auch für eine höhere Wettbewerbsfähigkeit.
Während viele große Unternehmen dies mit Hilfe eigener Abteilungen oder externen juristischen und technischen Beratern in der Regel bereits durchführen, stellt der Vorgang für kleine und mittelständische Firmen eine gewisse Herausforderung dar. Vor allem angesichts der bevorstehenden Sommerpause und dem Weihnachtsurlaub bleibt bis Mai 2018 nicht mehr allzu viel Zeit, sodass sie bereits jetzt damit beginnen sollten. Dazu ist ein eigenes Datenschutzprojekt nötig, bei dem es sich lohnt, externe Berater mit entsprechenden Erfahrungen einzubinden.
Das ist zu beachten
Wie lange ein solches Projekt dauert und welchen Aufwand es erfordert, lässt sich nur im Einzelfall abschätzen. Denn es hängt nicht nur von der Anzahl der Mitarbeiter, den eingesetzten Prozessen und Webdiensten sowie der Art der Kundenkontakte ab, sondern auch von der Verbindung mit anderen Unternehmen, den genutzten Kommunikationsmitteln, der Datenverarbeitung und -speicherung und vielem mehr. Dabei ist zu berücksichtigen, dass in den jeweiligen Firmen alle Abteilungen betroffen sind, die mit personenbezogenen Daten umgehen. Dazu gehören in der Regel IT, Personal, Marketing, Vertrieb und Recht. Auch der Datenaustausch mit zahlreichen externen Partnern ist zu prüfen, etwa Lieferanten für die Produktion, Logistik-Partnern, Web-Hostern, Cloud-Providern, Datenanalysten oder Personaldienstleistern. Daher gibt es auch keine Standardlösung für die Compliance und den Datenschutz gemäß EU-DSGVO.
In jedem Fall muss der Datenschutzbeauftragte als Stabstelle umfassendere Rechte besitzen, denn sein Haftungsrisiko steigt. Auch der IT-Leiter hat das Datenschutzrecht nun mit einer deutlich höheren Priorität zu behandeln, da er die IT-Sicherheit der personenbezogenen Daten nun nach "Stand der Technik" erfüllen muss und ebenso stärker in Haftung genommen werden kann. Entsprechend ist ein strengeres und umfassenderes Risikomanagement nötig, um mögliche Gefahren zu ermitteln, geeignete Maßnahmen zu entwickeln und umzusetzen sowie ein transparentes, zuverlässiges Reporting einzuführen.
Schritt für Schritt zum Datenschutz
Was sollten Unternehmen also tun? Im ersten Schritt müssen sie abklären, wo sie derzeit stehen und welche Aufgaben zu erledigen sind. Diese Ist-Analyse kann zu durchaus überraschenden Erkenntnissen führen. Zum Beispiel war in der Praxis ein Unternehmen mit nur elf Mitarbeitern, das ein Webportal im sozialen Umfeld betreibt, nicht weniger als zwei Monate nur mit der Umsetzung der Datenschutzanforderungen beschäftigt. Schließlich gehen die Mitarbeiter und externen Dienstleister mit hochsensiblen persönlichen Daten um.
Auch ein kleiner Handwerksbetrieb oder ein Händler mit Online-Shop muss aufgrund der gesammelten Kundendaten entsprechende Maßnahmen ergreifen - sowohl in Bezug auf IT-Sicherheit wie Firewalls, Intrusion Detection und Verschlüsselung, als auch bezüglich Datenschutz wie Anonymisierung, transparente Speicherung und Verwendung der Informationen sowie das Einholen der Einwilligung zur Verarbeitung der persönlichen Daten. Je mehr Prozesse hier online ablaufen, desto aufwändiger ist die Umsetzung des Datenschutzes.
Eine große Herausforderung kann dabei auch die Existenz veralteter Infrastrukturen darstellen. Diese wurden nur selten nach dem Prinzip "Security by Design" aufgebaut. Doch eine stringente und konsequente Erkennung und Behebung von Schwachstellen bereits bei Entwicklung und Installation der Lösungen wird immer wichtiger, um das erstellte Sicherheitskonzept nicht zu gefährden. Entsprechend müssen Unternehmen herausfinden, welche Sicherheitsmaßnahmen sie für die Compliance mit dem EU-DSGVO benötigen. Dabei sind auch damit vernetzte Systeme wie Cloud-Lösungen, Partner-Anwendungen oder Lieferketten zu berücksichtigen. Anschließend ist zu ermitteln, ob diese Maßnahmen mit der bisherigen Infrastruktur realisierbar sind oder ob neue Hardware und Software nötig wird.
Die größten Hürden
Die Compliance mit der EU-DSGVO ist daher ein aufwändiges Projekt, das zahlreiche Maßnahmen für die rechtliche, organisatorische und technische Umsetzung erfordert. Doch bei vielen Unternehmen muss sie sozusagen nebenher laufen, da zum Beispiel große Migrationsprojekte, die Erfüllung neuer Marktanforderungen, die Einführung von Industrie-4.0-Projekten oder andere Aufgaben mit hoher Priorität anstehen. Entsprechend werden die Investitionen in den Datenschutz normalerweise über einen Zeitraum von ein bis drei Jahren verteilt. Trotzdem müssen die Vorgaben der EU-DSGVO bis 18. Mai 2018 umgesetzt sein. Dies erfordert eine strukturierte Vorgehensweise.
Dabei sind häufig interne Hindernisse zu überwinden. Gerade bei kleinen und mittelständischen Unternehmen herrscht oft eine Haltung nach dem Motto: "Das haben wir schon immer so gemacht und es ist noch nie etwas passiert." Häufig liegt es aber nur an einer guten Portion Glück, dass das Unternehmen noch nicht von Cyberkriminellen angegriffen wurde, die persönliche Kundendaten ausgelesen haben. Daher müssen Berater oft erst ein gewisses Bewusstsein in der obersten Führungsebene schaffen, damit sie die Problematik und die Risiken erkennt.
Aber auch wenn durch die angedrohten drakonischen Strafen bereits die Erkenntnis gereift ist, ein Compliance-Projekt anzugehen, wird häufig noch nicht verstanden, dass eine strukturierte Vorgehensweise gemäß zu ermittelnder Prioritäten nötig ist. Zudem erfordert ein solches Projekt Zeit, Manpower, finanzielle Ressourcen und die ausdrückliche Unterstützung durch die Führungsebene. Schließlich darf der Datenschutzbeauftragte mit der Aufgabe nicht alleine gelassen werden, da ansonsten die Veränderungen im Unternehmen nicht umgesetzt werden können und scheitern. Zudem kann sich die Geschäftsführung vor der Aufgabe nicht verstecken, da die Bußgeldbescheide auch an sie zugestellt werden.
Zu treffende Maßnahmen
Die Anzahl und Komplexität der einzuführenden Maßnahmen sollte dabei nicht unterschätzt werden. Zum Beispiel erfordert die neue Regelung die Nutzung von Sicherheitsmaßnahmen nach dem Stand der Technik. Dazu gehören etwa belastbare Abwehrmechanismen gegen größere DDoS-Attacken, Antiviren- und Antimalware-Software sowie strenge Identifizierungs- und Authentifizierungsmechanismen. Eine Next-Generation Firewall entspricht beispielsweise dem Stand der Technik. Dies bedeutet, dass eine IP-Table-Firewall, die nicht mehr zeitgemäß ist, aufgrund konkreter gesetzlicher Anforderungen ausgetauscht werden muss. In welchen Bereichen Maßnahmen nötig und sinnvoll sind, sollte zudem eine Schutzbedarfsanalyse zeigen. Die EU-DSGVO erfordert hier zwar ein höheres Anforderungsprofil an das Risikomanagement, jedoch können Unternehmen dann auch die Effizienz ihrer Schutzmaßnahmen erhöhen. Zudem erhalten sie damit den Vorteil, dass sie bisherige Redundanzen oder unnötige Maßnahmen und Lizenzen einsparen können.
Ein weiterer positiver Aspekt der EU-DSGVO ist die Möglichkeit auf etablierte Vorgehensweisen zurückzugreifen. Wer zum Beispiel bereits ein funktionierendes, ständig aktualisiertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einsetzt, hat die halbe Arbeit schon erledigt. Er muss hier lediglich den Anwendungsbereich erweitern und gemäß der Regelung erforderliche Prozesse für den Datenschutz und die rechtlichen Prüfungen ergänzen. Dies funktioniert relativ einfach, wenn die bisherigen Prozesse in der Praxis gut umgesetzt werden.
Trotzdem müssen die Unternehmen auch dann den Ist-Status ermitteln, gemeinsam mit den Fachbereichen die Prozesse prüfen, die erledigten und noch zu erledigenden Aufgaben auflisten und eine Prioritätenliste erstellen. Dabei können sie auch externe Berater einbinden, welche die genutzten Verfahren, Daten und IT-Systeme analysieren sowie rechtlich prüfen, ob sie erlaubt und zweckgebunden sind. Dazu gehören neben Auftragsdatenverarbeitung auch Einwilligungen von Kunden, Risikomanagement, Dokumentationen, Betriebsvereinbarungen sowie IT-Sicherheits- und Datenschutzrichtlinien. Anschließend werden die durchzuführenden Aufgaben aufgezeigt und priorisiert, die zur technischen und rechtlichen Absicherung nötig sind.
Auf weitere Änderungen vorbereiten
Unternehmen sollten sich schon von Anfang an darauf vorbereiten, dass sich die Rechtsprechung ständig weiterentwickelt. So sind nach dem 18. Mai 2018 diverse Gerichtsurteile zu erwarten, welche die Auslegung der EU-DSGVO stärker präzisieren. Diese werden von Verwaltungsgerichten und dem Europäischen Gerichtshof erlassen. Es ist auch nicht auszuschließen, dass die EU selbst die Datenschutz-Grundverordnung immer wieder aktualisiert und neuen Entwicklungen anpasst. Auch aufgrund vieler offener Fragen und gewisser Lücken im aktuellen Text sollten sich Unternehmen auf einen dauerhaften Prozess einstellen.
Für deutsche Firmen ist dabei besonders wichtig, dass die EU-Verordnung mit dem neuen Bundesdatenschutzgesetz (BDSG) verzahnt ist. In dessen Geltungsbereich bleiben zum Beispiel die Themen Arbeitnehmerdatenschutz oder eine stark ausgeweitete Videoüberwachung, auch am Arbeitsplatz. Auch bisherige Regelungen wie die Bestellpflichten für den Datenschutzbeauftragten bleiben bestehen. Auch wenn viele Experten die EU-Verordnung aufgrund ihrer zahlreichen Öffnungsklauseln eher für eine Richtlinie halten, müssen sie Unternehmen wegen der möglichen hohen Strafen befolgen.
Jetzt starten
Aufgrund der zahlreichen Herausforderungen und zu bearbeitenden Themen sollten Unternehmen schon jetzt mit dem Projekt "EU-DSGVO Compliance" starten. Dabei sind die bestehenden Prozesse zu prüfen, um sie zu erweitern oder nach Möglichkeit auch zu vereinfachen. Zum Beispiel lässt sich jetzt ein ausreichender Passwortschutz über Single-SignOn und Zwei-Faktor-Authentifizierung realisieren. So müssen sich die Mitarbeiter nicht mehr verschiedene komplexe Passwörter merken, wodurch sich gleichzeitig ihre Zufriedenheit und die Sicherheit für das Unternehmen erhöhen. Werden die Vorgaben der EU-DSGVO konsequent und nachweisbar eingehalten, lässt sich dies auch für Marketing und Vertrieb nutzen. Denn selbst die Kunden von kleinen Handwerksbetrieben möchten heute sicher sein, dass sich ihre persönlichen Daten in guten Händen befinden. So eröffnet die neue EU-Regelung auch neue Geschäftsmöglichkeiten.