Nur noch 85 Wochen: Bei der Umstellung auf die Datenschutzgrund-Verordnung müssen viele Unternehmen von vorne anfangen

Written on 13 Oct 2016

85 Wochen sind eine lange Zeit. Bis zum 25. Mai 2018 haben Unternehmen noch, um ihre Datenverarbeitung auf die neuen Anforderungen der europäischen Datenschutz-Grundverordnung umzustellen. Dann gilt die Verordnung, die im Mai dieses Jahres verabschiedet wurde, direkt in allen Mitgliedsstaaten. Damit tritt in Europa ein neues Datenschutzrecht in Kraft – ohne weitere Übergangsfrist. Manche Unternehmen, allen voran einige internationale Konzerne, haben schon lange vor Verabschiedung der Verordnung begonnen, sich auf die veränderten rechtlichen Rahmenbedingungen einzustellen. Allen anderen aber läuft langsam, aber sicher die Zeit davon.

Mehr als nur ein neues Gesetz

Die Datenschutz-Grundverordnung ist nicht einfach nur ein neues Gesetz, dass ab Mai 2018 beachtet werden muss, bis dahin aber ignoriert werden kann. Sie erfordert vielmehr eine sorgfältige und meist aufwändige Vorbereitung, bis hin zu Modifikationen bestehender Produkte oder Dienste. Teilweise werden ganze Geschäftsmodelle zur Disposition stehen.

Dabei setzt die Verordnung – anders als das bislang geltende Recht – stärker auf die Eigenverantwortung der Unternehmen. Sie müssen selbst beurteilen, welches datenschutzrechtliche Risiko die eigene Datenverarbeitung mit sich bringt und wie sie dieses in den Griff bekommen. Dieser grundsätzliche Kurswechsel bedeutet auf den ersten Blick mehr Flexibilität. Ein zweiter Blick zeigt jedoch, dass die höhere Eigenverantwortung einhergeht mit stark gestiegenen Compliance-Anforderungen.

Datenverarbeitung auf dem Prüfstand

Unter der Datenschutz-Grundverordnung müssen Unternehmen die gesamte eigene Datenverarbeitung auf den Prüfstand stellen und für jeden einzelnen Verarbeitungsvorgang das damit verbundene Risiko für die Rechte und Freiheiten der betroffenen Kunden oder Mitarbeiter bewerten. An das Ergebnis dieser Risikoanalyse knüpfen eine Reihe weiterer, in der Praxis äußerst aufwändiger Pflichten an – von der Auswahl der geeigneten IT-Sicherheitsmaßnahmen über eine detaillierte sogenannte „Datenschutz-Folgenabschätzung“ bis hin zur proaktiven Vorsprache bei den Datenschutzbehörden.

Dabei setzt die Verordnung zu einem sehr frühen Zeitpunkt an und fordert, dass datenschutzrechtliche Pflichten schon im Entwicklungsstadium von datenverarbeitenden Systemen berücksichtigt werden, der Datenschutz also buchstäblich „ab Werk mit eingebaut wird“. Flankiert werden diese neuen Anforderungen durch umfangreiche Dokumentationspflichten. Die Unternehmen müssen jederzeit in der Lage sein, gegenüber den Aufsichtsbehörden ihre Compliance mit der Verordnung nachzuweisen. Misslingt dieser Beweis, drohen künftig drakonische Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.

Verständnis der eigenen Systeme erforderlich

Soweit die Theorie. In der Praxis stellt viele Unternehmen bereits der erste notwendige Schritt auf dem Weg hin zur Compliance mit der Datenschutz-Grundverordnung vor erhebliche Schwierigkeiten. Dreh- und Angelpunkt ist nämlich ein sehr genaues Verständnis der eigenen Datenverarbeitung. Nur wer weiß, welche Daten er wo, auf welche Weise und zu welchen Zwecken verarbeitet, kann das damit verbundene Risiko einschätzen und daraus die richtigen Schlüsse ziehen.

Klingt einfach, ist es aber oftmals nicht. Zugegeben: Schon unter geltendem Recht sind Unternehmen verpflichtet, die eigenen Datenverarbeitung zu dokumentieren; Stichworte sind hier Verfahrensverzeichnis und Verarbeitungsübersicht. In der Praxis fällt diese Dokumentation aber oft sehr oberflächlich oder unvollständig aus, falls sie überhaupt vorhanden ist.

Unternehmen, die insoweit eine weiße Weste haben, können unmittelbar ihren jeweiligen Anpassungsbedarf analysieren und werden in der Regel mit der noch zur Verfügung stehenden Vorbereitungsfrist auskommen. Alle anderen jedoch, die heute noch keinen detaillierten Überblick über ihre in der Praxis oft hochkomplexe Datenverarbeitung haben, laufen ein hohes Risiko.

Handlungsbedarf, aber keine pauschalen Antworten

Was ist also zu tun? Am Anfang sollte stets eine ehrliche Bestandaufnahme stehen: Haben wir den nötigen Überblick über die eigene Datenverarbeitung? Verfügen wir über die nötigen Ressourcen und Expertise, um der Datenschutz-Grundverordnung gerecht zu werden? Falls die Antwort nein lautet, besteht dringender Handlungsbedarf für die notwendige Grundlagenarbeit. Oft müssen vorhandene Datenschutzteams erweitert oder gar neu aufgebaut werden. All das kostet wertvolle Zeit.

Sobald alle Fakten auf dem Tisch liegen, folgt im nächsten Schritt die systematische Überprüfung aller Datenverarbeitungsvorgänge darauf hin, ob die Anforderungen der Datenschutz-Grundverordnung eingehalten werden. Ziel ist es, Anpassungsbedarf zu identifizieren und in möglichst konkrete Maßnahmen zu übersetzen. Hier gibt es keine pauschalen Antworten. Grundsätzlich gilt: Je komplexer die eigene Datenverarbeitung ist, desto höher wird der Aufwand sein. In einem letzten Schritt müssen die identifizierten Maßnahmen schließlich umgesetzt und detailliert dokumentiert werden. Vor diesem Hintergrund können 85 Wochen sehr kurz sein.

Wie Osborne Clarke Ihnen helfen kann – dazu mehr hier.