Dr. Hermann Lindhorst
Rechtsanwalt, Fachanwalt für IT-, Urheber- und Medienrecht, Fachanwalt für Sportrecht
Wer momentan die Wirtschaftsteile der Zeitungen, die Nachrichten der Unternehmen oder die Internetseiten von Beratern und Anwälten aufmerksam durchliest, stößt dabei immer häufiger auf Hinweise zu neuen Vorschriften zum Datenschutz, die EU-weit – und damit auch hier in Deutschland – ab Mitte Mai in Kraft treten.
Wer momentan die Wirtschaftsteile der Zeitungen, die Nachrichten der Unternehmen oder die Internetseiten von Beratern und Anwälten aufmerksam durchliest, stößt dabei immer häufiger auf Hinweise zu neuen Vorschriften zum Datenschutz, die EU-weit – und damit auch hier in Deutschland – ab Mitte Mai in Kraft treten.
Hintergrund ist die neue EU-Datenschutzgrundverordnung, die bereits im April 2016 verabschiedet wurde und deren Vorschriften nun ab dem 25.05.2018 unmittelbar gelten. Haben Unternehmen daher noch ausreichend Zeit zur Vorbereitung? Eindeutige Antwort darauf ist „Nein!“, denn die Änderungen sind derart umfangreich, dass es zu spät sein wird, wenn man sich jetzt nicht damit befasst. Unter anderem wird es neben den unmittelbar geltenden neuen EU-Regeln ein komplett neues Bundesdatenschutzgesetz geben mit gänzlich neuer Struktur (und Nummerierung), so dass z.B. Verträge mit Verweisen darauf angepasst werden müssen. Wer kennt z.B. nicht die Hinweise auf die „Verpflichtung auf das Datengeheimnis gem. § 5 BDSG“ aus Arbeitsverträgen? Hier ist zu beachten, dass es zwar weiterhin das Datengeheimnis geben wird, nicht aber mehr § 5 BDSG.
Eines der Hauptziele der neuen, EU-weit geltenden Datenschutzregeln ist die verstärkte Durchsetzung der datenschutzrechtlichen Vorschriften: So steigt die Bußgelddrohung drastisch an und kann sogar bis zu 4% des Umsatzes betragen. Und schlimmer noch: Auch Verbände sind – neben den Datenschutzbehörden, die derzeit massiv neue Stellen schaffen – zur Verfolgung von Datenschutzrechtsverstößen befugt und werden mit Sicherheit davon Gebrauch machen. Missliebige Abmahnungen werden dann (leider) vorprogrammiert sein und so sicher kommen wie das Amen in der Kirche.
Wer sich schon einmal vorbereiten möchte: Ein der anregenden rechtlichen Lektüre zugeneigter Leser darf sich bei einem Glas Rotwein am Kamin (oder einem kühlen Pils ...) auf 171 Erwägungsgründe, 99 Artikel sowie die entsprechenden Ausführungen dazu freuen, viel Vergnügen.
Künftig wird es für Unternehmen also noch mehr als bisher notwendig sein, datenschutzrechtlich auf der sicheren Seite zu sein. Dazu gehört – neben der Bestellung eines Datenschutzbeauftragten bei Vorliegen bestimmter Voraussetzungen – vor allem die datenschutzrechtliche Sensibilisierung aller Mitarbeiter. So sollten etwa durch regelmäßige Schulungen oder Vorträge die geltenden Grundlagen des Datenschutzrechts vermittelt werden. Das ist längst nicht überall gegeben: Allgemein gilt nach wie vor, dass sehr viele Unternehmen, gerade kleinerer Größe oder Mittelständler, keinerlei datenschutzrechtliche Vorkehrungen getroffen haben. Ab dem 25. Mai 2018 kann das teuer werden, sehr teuer sogar.
Was also ist zu tun? Zunächst müssen die absoluten datenschutzrechtlichen Mindestanforderungen sichergestellt werden, wozu etwa die Bestellung eines Datenschutzbeauftragten gehört, wenn im Unternehmen mindestens zehn Personen am PC arbeiten. Achtung: Hier geht es nach Köpfen, so dass auch eine 15-Std.-Teilzeitkraft oder ein Praktikant vollständig hinzuzuzählen ist. Zu den Mindestanforderungen gehören außerdem, dass Datenschutzschulungen stattfinden und alle Verträge mit datenschutzrechtlichem Bezug (zu denen in aller Regel z.B. Arbeitsverträge gehören, aber auch z.B. Verträge über die Pflege und Wartung von IT-Systemen) überarbeitet werden. In einem zweiten Schritt müssen Sie prüfen lassen, ob einige der neuen Vorschriften auf Ihr Unternehmen anwendbar sind, ob also z.B. ein sog. „Datenverarbeitungsverzeichnis“ oder gar eine „Datenschutzfolgeabschätzung“ erstellt werden muss.
Freilich ist zu beklagen, dass rund um die Einführung der neuen Vorschriften auch viel übertriebener Wind gemacht wird, wenn etwa ohne jeden Bezug zu den erforderlichen rechtlichen Grundlagen Berater fordern, dass nun jedweder datenschutzrechtlich relevanter Vorgang in Prozessabläufen nachvollziehbar dokumentiert werden müsse. Andernfalls drohten eben EUR 4 Mio. Bußgeld. Das ist aus unserer Sicht übertriebener Wahn, denn EUR 4 Mio. Buß- geld ist die maximale Obergrenze, die – zumal in den ersten Monaten nach Geltung – nicht verhängt werden wird; überdies besteht eine generelle Dokumentationspflicht für jedweden unternehmensinternen Prozess schlicht nicht.
Diese durchaus mit „Wahn“ zu beschreibende übertriebene Angstmacherei kann aber nicht darüber hinwegtäuschen: Die datenschutzrechtlichen Mindestanforderungen müssen bis Mitte Mai angegangen werden. An dieser Wirklichkeit kommt kein Unternehmen vorbei.
Dr. Hermann Lindhorst
Fachanwalt für IT-, Urheber- und Medienrecht
Rechtsanwalt, Fachanwalt für IT-, Urheber- und Medienrecht, Fachanwalt für Sportrecht
Bild: © Fotolia / bloomicon