Erklärt von der IHK zu Düsseldorf

Da ab dem 25. Mai 2018 die neue EU Datenschutzgrundverordnung, oder kurz DSGVO, in Kraft tritt, liess ich mir auf einer Veranstaltung der Industrie- und Handelskammer zu Düsseldorf von Herrn Lennart Schüssler erläutern, was das genau bedeuten wird. Man muss bedenken, dass Herr Schüssler den Beruf des Rechtsanwaltes ausübt. Seine Sicht auf die Verordnung ist daher vom Paralleluniversum “Globales Wirtschaftsrecht” geprägt. Wie die Verordnung später in der Praxis umgesetzt werden wird, ist eher der Rechtsprechung der Länder (Stichwort: Schleswig-Holstein, die Datenschutz-Taliban), und den damit verbundenen Optionen für Abmahnanwälte, geschuldet.

Bisher wurde der Datenschutz in Deutschland durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 geregelt. Diese sollte zu einer Mindestharmonisierung der 28 Mitgliedstaaten führen und wird nun, Richtung Vollharmonisierung, abgelöst. Die neue Verordnung wäre aber keine EU-Verordnung, wenn sie nicht lediglich unter Vorbehalt funktionieren würde. Sie ist gespickt mit Regelungslücken und sogenannten Öffnungsklauseln (andere Länder, andere Sitten), dass es mit der Vereinheitlichung wahrscheinlich nicht weit her sein wird, letztendlich.

Zunächst muss man sich vor Augen führen, um welch komplexes Thema es sich handelt. Ein Krankenhaus mit dem Land als Träger wird arbeitet nach Landesdatenschutz. Ist jedoch die Kirche der Träger, unterliegt es jedoch dem Kirchendatenschutz. Lustig, gell? Beim Datenschutz geht es im Wesentlichen um den Schutz persönlicher Daten. Jeder Kioskbesitzer der eine 450€ Jobber beschäftigt, verwaltet persönliche Daten. Persönliche Daten sind

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dies soll nach folgenden Grundsätzen geschehen:

1. Nach Treu und Glauben rechtmässig und transparent
2. Richtig
3. Zweckgebunden
4. Speicherbegrenzt
5. Datenminimiert
6. Integer und Vertraulich
7. Rechenschaftspflichtig

Bei sogenannten Data-Breaches, also Zugänglichwerdung (schönes Wort) der persönlichen Daten an unautorisierte Dritte, hat innerhalb von 72 Stunden eine Meldung an die zuständige Datenschutzbehörde zu erfolgen. Da sowieso Dokumentationspflicht besteht, kann man in diesem Fall optimaler Weise direkt die Dokumentation bzgl. seiner Prozesse aus dem Ärmel ziehen, nach denen die Daten verarbeitet werden. Das wäre auch ganz praktisch, sollte ein Betroffener nachfragen, was mit seinen Daten geschieht. Diesem gegenüber besteht nämlich auch Auskunftspflicht. Betroffene, also Personen, mit deren persönlichen Daten umgegangen wird, haben übrigens folgende Rechte:

1. Auskunft
2. Berichtigung
3. Widerspruch
4. Löschung
5. Übertragbarkeit der Daten
6. Einschränkung der Verarbeitung

Alleine hierdurch besteht immenser Klärungsbedarf. Wenn ich von Amazon fordere meine Daten zu löschen, würde Amazon im Anschluss nicht mehr Wissen, wer am 05. Mai 2017 die pinke Liebesschaukel bestellt hatte, sollten sie dieser Forderung tatsächlich nachkommen.

Und bisher haben wir international Datenübermittlung noch gar nicht angesprochen. Ein akzeptables Level an Datenschutz hat beispielsweise Israel. Wie stellt es sich jedoch dar, wenn persönliche Daten durch sogenannte “nicht-angemessenes Länder” dorthin übermittelt werden müssen? Zum Beispiel per Internet? Über Backbones in der Türkei? Keiner weiss es.

Folgen für die Wirtschaft

Mir scheint, hier haben sich international tätige Anwälte zusammen überlegt, wie sie die für sich grössten Pfründe erschliessen können. Die EU-Datenschutzgrundverordnung ist das Ergebnis. Es ist bereits abzusehen, dass die neue Verordnung Investitionen erforderlich machen wird, die das ein oder andere KMU in die Knie zwingen wird. Konzerne werden gezwungen sein sämtliche Auftragsdatenverarbeitungsverträge zu überarbeiten. Aber der Reihe nach: was wird in Zukunft erforderlich werden? Wo müss Unternehmen investieren?

Dokumentation

Sämtliche Prozesse, die persönliche Daten betreffen, sollten wir in Zukunft ordentlich und umfangreich dokumentieren. In folgenden Fällen wären wir dann gewappnet

• Betroffener pocht auf sein Auskunftsrecht (Art. 5 DSGVO)
• Datenschutzbehörde pocht auf Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
• schlimmstenfalls im Rahmen eine “Datenlecks” und der damit verbunden Informationspflicht (72 Std. Frist, Art. 33 DSGVO)

Jeder liebt Dokumentation. Zumal sich Datenverarbeitungsprozesse aufgrund technischer Innovationen ständig ändern, wird der damit beauftragten Stelle bestimmt nicht langweilig werden. Wie schön.

Softwareentwicklung mit IT-Rechtsanwalt im Team

Möchten wir in Zukunft vielleicht eine App entwickeln? Eventuell eine virtuelle Schnitzeljagd, die Zugriff auf die Kontakte des Smartphone-Benutzers bekommen soll? In dem Fall wären wir gut beraten neben Projektleitung, Programmierung und Design auch noch einen Datenschützer einzukaufen, der bei Team-Meetings seine Expertise beisteuert.

Beratende Institution (Datenschutzbeauftragter)

Überhaupt wäre es in Zukunft sinnvoll einen, oder mehrere, Datenschutzbeauftragt vollzeit zu beschäftigen. Irgendjemand sollte sich jedenfalls darum kümmern potentielle DSGVO-Verstösse zu verhindern, und im Zweifelsfall mit der zuständigen Datenschutzbehörde zu konferieren. Die Bussgelder hierfür werden nämlich auch signifikant steigen. Wobei vorher 300.000€ die Bußgeld-Obergrenze pro Einzelfall war, beträgt sie nun bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert höher ist. Datenschutzbeauftragte dürfte in der Regel jemand werden, der fachlich befähigt ist und keinem Interessenskonflikt unterliegt. Das schliesst Geschäftsführer und ITler im Unternehmen umgehend aus. Rechtsanwälte und Kanzleien mit Schwerpunkt IT-Recht reiben sich bereits in freudiger Erwartung die Hände.

Überarbeitung bestehender Verträge

Wenn Sie international tätig sind beauftragen Sie eventuell ein Call-Center in Neu-Delhi, Indien. Besagtes Call-Center speichert die Daten der Anrufer auf Servern eines Subunternehmers in, sagen wir, Bangkok, Thailand. Wer ist nun Controller und wer Auftragsdatenverarbeiter? Bei Konzernen kann es durch komplizierte Subunternehmer-Strukturen erforderlich werden, hunderte Vertragsverhältnisse zu prüfen und gegebenenfalls anzupassen. Sowas kostet viel Geld.

Zertifizierung

Es wird in Zukunft Unternehmen geben, die sich eine Zertifizierung nach DSGVO leisten können, und andere. Die zertifizierten unternehmen Unternehmen möchten natürlich niemanden in der Supply-Chain habe, der nicht auch DSGVO-Zertifiziert ist. Das wird den Druck erhöhen Datenschutzbeauftragte zu bestellen und nach DSGVO zertifiziert zu sein, da man andernfalls geschäftlich benachteiligt ist. Sie würden auch lieber bei einem Online-Shop kaufen, der ausweisen kann, dass er der DSGVO entsprechend mit Ihren persönlichen Daten umgeht, richtig?

Abmahnung

Die kommende Grundverordnung ist bisher nur formuliert, und somit eine fiktive Utopie. Wie sie in der Realität umgesetzt werden wird hängt von der Rechtsprechung der Länder, und den Aktivitäten der Abmahnanwälte ab.

Ich bin sehr gespannt, was passieren wird, wenn die DSGVO tatsächlich in Kraft tritt. Ich freue mich bereits auf von @sempervideo aufgegriffene Absurditäten bei der Umsetzung dieser sehr komplexen und teilweise realitätsfremden Geldmaschine für Juristen, der EU Datenschutzgrundverordnung.

Weiterführende Literatur

CNIL Open Source Online Tool für Protection Impact Assessments