02. Mai 2018
EU-DSGVO - Wie gut ist Sachsen vorbereitet? Status Quo bei Beratung und Datenschutzaufsicht
Am 25. Mai 2018 endet die Übergangsfrist der zwei Jahre zuvor in Kraft getretenen europäischen Datenschutz-Grundverordnung und diese findet somit unmittelbar Anwendung in den Mitgliedsstaaten. Hoch oben über Leipzig, in der 27. Etage des Panorama Towers, haben wir zur Landesfachtagung den Sachstand bei der anwaltlichen Beratungspraxis und der Datenschutzaufsichtsbehörde hinterfragt. Wir danken den Anwälten der CMS Hasche Sigle für deren Aussichten und die Gastfreundschaft.
(Foto: Wirtschaftsrat)

Nach einer Einführung in die Thematik durch den Vorsitzenden unserer Landesfachkommission, Marcus Putschli, teilte RA Dr. Hans-Christian Woger (CMS Hasche Sigle) seine Beratungs-Erfahrungen zur EU-DSGVO mit. In Ergänzung zum neuen Bundesdatenschutzgesetz (BDSG) sieht die EU-DSGVO einige Verschärfungen vor. So drohen z.B. bei Vergehen Bußgelder von bis zu 4% des Jahresumsatzes. Ferner zählt ab dem Stichtag der Ort, wo die Leistung erbracht wird, unabhängig vom Unternehmenssitz des datenverarbeitenden Unternehmens. Mit der EU-DSGVO erhält der Kunde mehr Rechte, so z.B. auch das „Recht auf Vergessenwerden“, welches in der Umsetzung (Implementierung eines geeigneten Löschsystems) noch manche Hürden aufwirft. Auf Unternehmen kommen umfassende Informationspflichten zu, die insbesondere bei Zweckänderung der Datenverarbeitung von Bedeutung werden. Konkret empfiehlt Dr. Woger den Unternehmern, falls noch nicht geschehen, eine Bestandsaufnahme des Datenflusses vorzunehmen. Daran anknüpfend sollte ein Verarbeitungsverzeichnis aufgestellt werden, aus welchem das Datenmanagement ersichtlich wird. Hierbei ist wichtig, dass nur die Daten verarbeitet werden dürfen, die wirklich für den einzelnen Datenverarbeitungsprozess relevant sind. Ist dies geschehen, folgt die rechtliche Bewertung, wobei entweder eine Einwilligung, die Notwendigkeit zur Vertragserfüllung und/oder ein berechtigtes Interesse an der Datennutzung vorhanden sein müssen. Anschließend sind entsprechende Maßnahmen nach außen zu ergreifen, worin das Erstellen einer Datenschutzerklärung sowie die Benennung eines Datenschutzbeauftragten (abhängig u.a. von der Unternehmensgröße) inkludiert sind. Als vorletzten Schritt sollten die Verträge mit Dritten, z.B. mit Cloud-Anbietern, hinsichtlich des Datenflusses überprüft und angepasst werden. Als letzter Schritt ist ein dauerhaftes und flexibel anpassbares Datenprozessmanagement zu implementieren, welches die erforderlichen Dateninformationen leicht abrufen lässt. Dieses darf nicht außer Acht lassen, dass bei besonders sensiblen Daten, wie z.B. bei Gesundheitsdaten, eine sog. „Datenschutzfolgeabschätzung“ notwendig wird, die das Datenschutzrisiko evaluiert. Als Fazit bleibt festzuhalten, dass die EU-DSGVO weiteren Aufwand, Kosten und Bürokratie für die Unternehmer verursacht, die es gilt, durch geeignete neue oder anpassbare professionelle Systeme und Beratungsleistungen, in Grenzen zu halten.

Robert Pache, Referent beim Sächsischen Datenschutzbeauftragten, welcher zum 25.05.2018 eine eigenständige Behörde werden wird, ging zunächst auf die Ziele der EU-DSGVO ein, die sich auf Datenminimierung, Datenrichtigkeit und Zweckbindung verdichten lassen. Er betrachtete die notwendigen Schritte unter dem Blickwinkel des Rechts und ging auf wichtige Artikel der Verordnung ein. Er relativierte aber zugleich das horrende Strafmaß bei Verstößen. Bei der Strafe spielen Faktoren, wie Dauer des Verstoßes und die Wirtschaftskraft des Unternehmens eine Rolle. Die Kontrollbehörden sind bestrebt, zunächst Abhilfe für Datenschutzvergehen zu schaffen, bevor noch nicht genau spezifizierte Bußgelder folgen. Es existieren bereits Handlungsempfehlungen und Vorlagen seitens der Datenschutzkonferenz (DSK) und von Datenschutzbehörden anderer Bundesländer (z.B. Bayern), deren Studium sich lohnt und sich positiv auf unternehmerische Bestrebungen für einen verbesserten Datenschutz bzw. geringere Strafen auswirkt. Eins steht jedoch fest: Die Gesamtverantwortung für den Datenverarbeitungsprozess bleibt beim Verantwortlichen, was nicht der weisungsunabhängige Datenschutzbeauftragte, sondern der Chef des Unternehmens (Geschäftsführer, Inhaber etc.) bleibt. Bei konzernähnlichen Organisationsformen reicht im Übrigen ein Datenschutzbeauftragter für die Gesamtorganisation aus. Sollte eine Datenschutzfolgeabschätzung notwendig werden, so ist in einem DSK-Kurzpapier eine Matrix abgebildet, welche die Risikoevaluation erleichtert. Subsummierend sei angefügt, dass der Sächsische Datenschutzbeauftragte (www.saechsdsb.de) Hilfestellung zur Thematik gern anbietet, hierfür aber mehr personelle Ressourcen benötigen wird, um sich Einzelfällen konkret widmen zu können.

Insgesamt kann man festhalten, dass man gut beraten ist, sich frühzeitig um den Datenschutz zu kümmern und falls schon geschehen, die bisherigen, vorhandenen gesetzlichen Datenschutzvorkehrungen im Unternehmen auf die EU-DSGVO anpasst. Die Teilnehmer genossen den Sonnenuntergang über Leipzig bei einem leckeren Buffet und kommen gern wieder.

Robert Pache, Referent beim Sächsischen Datenschutzbeauftragten (Foto: Wirtschaftsrat)