Interview mit procado-Geschäftsführer Marco Tessendorf zur EU-Datenschutz-Grundverordnung

Die Uhr tickt! Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung am 25. Mai 2018 wird der Grundstein gelegt für die EU-weite Rechtsvereinheitlichung im Datenschutz. Worauf sich Unternehmen einstellen müssen und was in der Praxis zu beachten ist, darüber sprach procado-Geschäftsführer Marco Tessendorf im Interview mit dem renommierten Umfrage-Tool-Anbieter LamaPoll. Wir fassen die wichtigsten Fakten aus dem Gespräch für Sie zusammen.

Was passiert ab Mai 2018?
Einfach formuliert: Das bisher gültige Bundesdatenschutzgesetz (BDSG) wird durch ein EU-weites europäisches Datenschutzrecht, die EU-Datenschutz-Grundverordnung (DSVGO), ersetzt. Das BDSG und die Landesdatenschutzgesetze treten außer Kraft. Ein bereits beschlossenes deutsches Datenschutz-Anpassungsgesetz konkretisiert die DSGVO allerdings in einigen Punkten.

Worauf müssen sich Unternehmen einstellen?
Viele Unternehmen müssen sich auf einen erhöhten Aufwand zur Umstellung der Datenschutzprozesse einstellen. Auch wenn das Datenschutzrecht in Deutschland bereits gut geregelt war, gibt es einige neue bzw. verschärfte Regelungen: Zum Beispiel die Datenschutzfolgenabschätzung, die Ausweitung der Meldepflicht bei Datenschutzpannen sowie erhöhte Dokumentationsaufwände und erweiterte Rechenschafts- und Informationspflichten gegenüber Betroffenen.

Was sind die drei wichtigsten Neuerungen?
Neu ist, dass der Schutz der betroffenen Personen vor Verletzung ihrer Rechte und Freiheiten in den Mittelpunkt des Datenschutzes rückt. Unternehmen müssen die Sicherheit einer Datenverarbeitung nachweisen können. Das stärkt die Bedeutung von Audits, Gütesiegeln und Zertifizierungen.

Neu ist auch die Forderung, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umzusetzen. Das ist vor allem für Softwareentwickler von Bedeutung.

Zudem ändern sich die Spielregeln bei der Einschaltung von Dienstleistern (der sog. Auftragsverarbeitung). Die Anforderungen an die Eignungsprüfung und die Bedingungen zur Beauftragung von Subunternehmern werden verschärft und Dienstleister stärker in die Pflicht genommen.

Wie werden Verstöße geahndet?
Viele Aufgaben und Pflichten sind bereits aus dem BDSG bekannt. Häufig wurden diese aber nicht ernst genommen und Verstöße selten geahndet. Das wird sich ab Mai 2018 ändern. Die DSGVO sieht eine ausdrückliche Abschreckung durch Bußgelder vor. Der Bußgeldrahmen wird um den Faktor 60 erhöht. Das bedeutet: Zukünftig können Bußgelder in Höhe von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio. € verhängt werden.

Was hat es mit den sog.  „Öffnungsklauseln“ auf sich?
Die DSGVO bildet den datenschutzrechtlichen Rahmen für die 28 EU-Mitgliedstaaten. Damit nationale Besonderheiten berücksichtigt werden können, hält die DSGVO sogenannte „Öffnungsklauseln“ („Soll- und Kann-Regelungen“) bereit. Der deutsche Gesetzgeber setzt diese Klauseln (teilweise auch Regelungsklauseln genannt) mit dem Datenschutz-Anpassungsgesetz, dem „BDSG neu“, um. Es tritt zusammen mit der Datenschutz-Grundverordnung in Kraft.

Wie bereiten sich Unternehmen am besten auf die Änderungen vor?
Zu Beginn sollten Unternehmen sicherstellen, dass ihre Verfahren und Prozesse ordentlich dokumentiert sind. Dies ist nicht nur nach der neuen Verordnung verpflichtend, sondern erleichtert auch die weiteren Schritte hin zur Anpassung. Entsprechend kann dann auch überprüft werden, ob z.B. Rechtsgrundlagen oder Löschfristen angepasst werden müssen. Ergänzend dazu sollten Unternehmen prüfen, ob bisherige Dokumente und Verträge auch im Hinblick auf die Verordnung noch gültig sind. Insbesondere bei Auftragsdatenverarbeitungen müssen Verträge durchgesehen und eventuell angepasst werden.

Weitere wichtige Schritte: Die Sensibilisierung der Mitarbeiter in Bezug auf das kommende Datenschutzrecht sowie die Implementierung von Verfahren zur Umsetzung der Datenschutzfolgenabschätzung, der Melde- und Konsultationspflichten an die Aufsichtsbehörde und zur Erfüllung der Unterrichtungs- und Informationspflichten gegenüber den Betroffenen.

Praxis-Frage: Welche Tools helfen beim Datenschutz im Alltag?
Prinzipiell sollten so wenig Datenspuren im Internet wie irgend möglich hinterlassen werden. Nutzer des weitverbreiteten Browsers FireFox können mit zusätzlichen Plug-ins wie „No Script“ (verhindert die Script-Ausführung) und „Ghostery“ (blockiert Werbebanner und Tracking) für mehr Datenschutz sorgen. Bei der Verwendung der Tools muss aber auf deren Einstellungen geachtet werden, damit diese nicht selbst Daten sammeln. Windows 10 lässt sich mit „ShutUp10“ von OO Software am Spionieren hindern. Grundsätzlich sollten für unterschiedliche Zwecke verschiedene Email-Adressen und vor allem Zugangsdaten verwendet werden. Ein nützliches nützliches Programm zur Passwortverwaltung ist z.B. „KeePass“.

Das vollständige Interview können Sie hier nachlesen.