Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten der Europäischen Union. Aus ihr ergeben sich zahlreiche neue datenschutzrechtliche Anforderungen an Unternehmen, die in der Europäischen Union aktiv sind. Nachdem einzelne Verstöße gegen die DSGVO für Unternehmen zu Bußgeldern in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr führen können, müssen sich Unternehmen der „Herausforderung DSGVO“ stellen.

Verarbeitung personenbezogener Daten – regelmäßig auf der Tagesordnung von Unternehmen

 Kurz vor dem 25. Mai 2018 stehen viele Unternehmen dennoch mit der Implementierung der Vorgaben der DSGVO eher am Anfang. Dabei sind die Maßnahmen, die Unternehmen ergreifen müssen, um die Anforderungen der DSGVO zu erfüllen, vielfältig.

Denn auch Unternehmen, die nicht über personenbezogene Daten privater Endkunden verfügen, fallen in den Anwendungsbereich der DSGVO: So sind zum einen die personenbezogenen Daten der eigenen Mitarbeiter nach den Vorgaben der DSGVO zu verarbeiten. Zum anderen sind auch die geschäftlichen Kontaktdaten von Geschäftspartnern wie Name oder E-Mail-Adresse personenbezogenen Daten im Sinne der DSGVO.

Schließlich umfasst auch das Verarbeiten personenbezogener Daten mehr Vorgänge, als dies Unternehmen bewusst ist: So verarbeitet ein Mitarbeiter schon dann personenbezogene Daten, wenn ihm für eine IT-Applikationen, die personenbezogene Daten enthält, ein Lesezugriff eingeräumt wurde.

Somit ist es nahezu ausgeschlossen, dass ein Unternehmen keine persönlichen Daten verarbeitet. Aus der DSGVO ergibt sich daher für nahezu alle Unternehmen innerhalb der Europäischen Union Handlungsbedarf mindestens im Hinblick auf die nachfolgend genannten Themen:

• Informationspflichten bei der Datenerhebung (Art. 13, 14 DSVO),
• Löschung, „Recht auf Vergessenwerden“ (Art. 17 DSGVO),
• „Privacy by design and by default“ (Art. 25 DSGVO),
• Auftragsdatenverarbeitung (Art. 28, 29 DSGVO),
• Dokumentation aller Datenverarbeitungen eines Unternehmens in einem Verarbeitungsverzeichnis (Art. 30 DSGVO),
• technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung (Art. 32 DSGVO),
• Meldepflichten bei Datenlecks u. Ä. (Art. 33 DSGVO),
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie
• Übermittlung von Daten in Drittstaaten (Art. 44 ff. DSGVO).

Über alle sieben Weltmeere: Besondere Anforderungen für die Übermittlung personenbezogener Daten in Drittländer

Viele international agierende Unternehmen verarbeiten personenbezogene Daten häufig auch länderübergreifend: Personaldaten werden von der ausländischen Tochter an die Konzernmutter übermittelt, ein Cloud-Dienstleister mit Sitz im Ausland wird beauftragt – Beispiele für die Verarbeitung personenbezogener Daten im internationalen Kontext sind vielfältig. Solange die Datenübermittlung innerhalb der Europäischen Union stattfindet, sind damit keine besonderen Herausforderungen für Unternehmen verbunden, dieser Datentransfer ist ohne weiteres zulässig.

Sobald aber personenbezogene Daten aus einem Mitgliedstaat der Europäischen Union in ein sogenanntes Drittland übermittelt werden, stellt die DSGVO hieran besondere Anforderungen: Die Übermittlung personenbezogener Daten in ein Drittland ist nach den Grundsätzen der DSGVO nur dann zulässig, wenn gewährleistet ist, dass im Drittland ein angemessenes, der DSGVO entsprechendes datenschutzrechtliches Schutzniveau besteht. Wann ein solches angemessenes Schutzniveau besteht, regeln die Art. 44 ff. DSGVO.

Die grenzüberschreitende Übermittlung von Daten an Empfänger in Drittländern ist danach insbesondere zulässig, wenn die Europäische Kommission im Rahmen eines sogenannten Angemessenheitsbeschlusses festgestellt hat, dass das betreffende Drittland über ein angemessenes datenschutzrechtliches Schutzniveau verfügt. Ein solcher Angemessenheitsbeschluss besteht jedoch derzeit lediglich für Andorra, Argentinien, Kanada, die Isle of Man, Neuseeland, Uruguay, die Schweiz und über das sogenannte Privacy Shield für die USA.

Aber auch ohne einen solchen Angemessenheitsbeschluss ist die Übermittelung personenbezogener Daten aus der Europäischen Union hinaus rechtlich möglich – wenngleich auch etwas komplizierter. Art. 46 DSGVO sieht vor, dass eine Datenübermittlung ohne einen Angemessenheitsbeschluss nur mit sogenannten geeigneten Garantien möglich ist. Diese geeigneten Garantien dienen dazu, dass ein angemessenes Schutzniveau für die exportierten personenbezogenen Daten im Drittland sichergestellt ist.

Anders als beim Angemessenheitsbeschluss kommt es hier nicht auf das datenschutzrechtliche Schutzniveau des Drittlandes, sondern auf die vertraglichen Zusicherungen der einzelnen Datenübermittler und -empfänger in Hinblick auf den Schutz der Persönlichkeitsrechte der Betroffenen an. Geeignete Garantien im Sinne des Art. 46 DSGVO sind dabei

• entsprechende eigene Vertragsklauseln,
• verbindliche Unternehmensregelungen (sogenannte Binding Corporate Rules),
• von der EU-Kommission genehmigte Standardklauseln oder
• von der EU-Kommission selbst verfasste Standardklauseln.

Besteht kein Angemessenheitsbeschluss für das betreffende Drittland und schaffen Unternehmen ihrerseits keine entsprechenden Garantien, drohen bei dennoch vorgenommenen Datenexporten Bußgelder von bis zu 20 Millionen Euro oder in Höhe von bis zu 4 Prozent des weltweit erzielten Konzernjahresumsatzes.

Sofern Unternehmen regelmäßig außerhalb der EU und der oben genannten Ländern wirtschaftlich aktiv sind, sind daher möglichst zeitnah entsprechende vertragliche Regelungen mit den Empfängern der Daten zu vereinbaren oder bereits bestehende Vertragsvereinbarungen hinsichtlich der Vereinbarkeit mit der DSGVO rechtlich begutachten zu lassen.

Verträge zur Auftragsdatenverarbeitung – Anpassungsbedarf für bereits abgeschlossene Vereinbarungen

Unter einem Auftragsdatenverarbeitungsvertrag versteht man einen Vertrag zwischen zwei Parteien (dem Verantwortlichen und dem Auftragsverarbeiter) über die Weitergabe personenbezogener Daten durch den Verantwortlichen an den Auftragsverarbeiter zur weisungsgebundenen Verarbeitung durch diesen. Eine solche Auftragsdatenverarbeitung kann beispielsweise bei der externen Auslagerung interner Buchhaltungsprozesse aber auch bei der Bearbeitung personenbezogener Daten innerhalb des eigenen Konzerns vorliegen.

Die Auftragsdatenverarbeitung ist allerdings keine Neuerung der DSGVO, auch das BDSG kannte diese Konstruktion bereits. Neu hinzugekommen sind in der DSGVO aber zum Beispiel die Unterstützungspflichten des Auftragsverarbeiters bei der Datenschutz-Folgenabschätzung und der vorherigen Konsultation, zudem enthält Art. 28 Abs. 4 DSGVO eine präzisere Regelung zur Zulässigkeit des Einsatzes von Subunternehmern. Ferner ist zu erwarten, dass künftige Verträge eine Hinwendung zu mehr technischer Datensicherheit erfahren werden.

Vor diesem Hintergrund sollten Unternehmen ihre bereits bestehenden Auftragsverarbeitungsverträge anpassen. Denn erst wenn in diesen Verträgen die neuen Aspekte der DSGVO ausreichend berücksichtigt sind, drohen keine Bußgelder mehr.

Anpassungsbedarf auch mit Hinblick auf Arbeitsverhältnisse

Viele Arbeitsverträge und andere Vereinbarungen im Kontext des Arbeitsverhältnisses verweisen auf datenschutzrechtliche Bestimmungen. Regelmäßig sind dies Verweise auf Normen des zum 25. Mai 2018 außer Kraft tretenden BDSG. Im Hinblick auf neue Arbeitsverhältnisse müssen diese Dokumente daher angepasst werden.

Zudem bestehen auch im Arbeitsverhältnis Informationspflichten nach Art. 13 DSGVO: Die Mitarbeiter eines Unternehmens müssen darüber informiert werden, wie ihre personenbezogenen Daten durch das Unternehmen im Arbeitsverhältnis verarbeitet werden. Diese Informationstexte gilt es nun kurzfristig bereit zu halten.

Für bestehende Arbeitsverhältnisse sollen die vorgenannten Aspekte nach überwiegender Auffassung allerdings keine Rolle spielen, so dass hier zunächst kein Handlungsbedarf besteht. Sobald aber im bestehenden Arbeitsverhältnis personenbezogenen Daten von dem Arbeitnehmer nacherhoben werden, bestehen zumindest die Informationspflichten nach Art. 13 DSGVO.

Keine Option: Tee trinken und abwarten

Die DSGVO führt somit bei Unternehmen zu einigem Änderungsbedarf. Unternehmen, die sich bislang noch nicht intensiv mit der DSGVO beschäftigt haben, sollten versuchen, vor dem 25. Mai 2018 zumindest einen Aktionsplan zur Implementierung der DSGVO aufzustellen. Mit hoher Priorität versehen werden sollten dabei solche Implementierungsaufgaben, deren Erfüllung von jedermann relativ leicht überprüft werden kann. Dabei handelt es sich zum Beispiel um die DSGVO-Konformität der Webseite des Unternehmens. Datenschutzrechtliche Mindestinhalte wie eine aktuelle Datenschutzerklärung sollten ab dem 25. Mai 2018 abrufbar sein.