Dr. Hermann Lindhorst
Rechtsanwalt, Fachanwalt für IT-, Urheber- und Medienrecht, Fachanwalt für Sportrecht
Die Aufgabe des Managements in Unternehmen wird darin gesehen, den gesamten Leistungsprozess und den damit verbundenen Gütereinsatz so zu koordinieren, dass die Ziele des Unternehmens erreicht werden können (Hungenberg).
Landauf landab werden Unternehmen derzeit mit Einladungen und Werbeanzeigen von Anwälten und Beratern geflutet, die Datenschutzseminare und Vorträge anbieten. Hintergrund ist die neue EU-Datenschutzgrundverordnung, die bereits im April 2016 verabschiedet wurde und deren Vorschriften in gut einem Jahr, nämlich am 25.05.2018 in Kraft treten werden. Dabei überbieten sich die Anpreisungen und Titel der Anbieter von Seminaren geradezu in der Dramatik, die die neuen Vorschriften hinsichtlich ihres Umsetzungsbedarfes mit sich bringen sollen. Man gewinnt den Eindruck, dass jegliches Aufschieben oder gar Ignorieren dieser neuen Vorschriften geradewegs ins Gefängnis führt.
Wie sieht die Sach- und Rechtslage tatsächlich aus? Was sind die gravierendsten Änderungen gegenüber der bestehenden Rechtslage? SCHLARMANNvonGEYSO klärt auf und hat die folgenden sieben Kernbotschaften für Sie:
Tatsächlich trifft es zu, dass die EU-Datenschutzgrundverordnung eine Menge neuer Regelungen enthält. Hierfür sorgt allein die schiere Masse an Text, die dem einer anregenden rechtlichen Lektüre zugeneigten Leser über 171 Erwägungsgründe, 99 Artikel und die entsprechenden Ausführungen dazu begegnet.
Was genau sich ändert, steht nur leider noch gar nicht fest…
Ernüchternder Befund nach Lektüre all dieser Bestimmungen ist, dass diese Verordnung etliche Spielräume enthält. So können sowohl einzelne Mitgliedstaaten als auch Datenschutzbehörden in den unterschiedlichen Ländern zahlreiche der häufig unbestimmten Rechtsbegriffe konkretisieren oder gar abweichend regeln. Dies betrifft neben dem wichtigen und praktisch hoch relevanten Beschäftigtendatenschutz, der z. B. für Angestellte in einem Unternehmen gilt, auch weitere Regelungen, etwa z. B. über Archive, Statistiken sowie für wissenschaftliche oder historische Forschungen. Leider fehlen weitere aktuell intensiv diskutierte datenschutzrechtliche Problemstellungen, wie z. B. sog. Big-Data-Anwendungen oder Scoring/Profiling in der EU-Datenschutzgrundverordnung bzw. werden nicht durch sie geregelt. Von praktischer Relevanz sind neue Vorschriften zu den Anforderungen an eine datenschutzrechtliche Einwilligung – hier vertreten einige Datenschutzexperten die Auffassung, dass bereits bestehende Einwilligungen nachgeholt werden müssen. Die einschneidendsten Änderungen betreffen sicherlich aber die Regelungen zu Sanktionen, denn zum einen wurde der Bußgeldrahmen deutlich erhöht. Zum anderen sollen nun auch Verbände – mehr noch als bisher – datenschutzrechtliche Verstöße verfolgen dürfen, so dass sich z. B. Verbraucherverbände dem Thema Datenschutz verstärkt annehmen werden.
Während es Unternehmen früher kaum zu vermitteln war, dass sie von der Einhaltung datenschutzrechtlicher Vorschriften auch greifbare Vorteile haben, gilt das nach den neuen Vorschriften nunmehr auch ausdrücklich: So ist bei der Bemessung einer datenschutzrechtlichen Sanktion zu berücksichtigen, inwiefern das jeweilige Unternehmen datenschutzrechtliche Sicherungsvorkehrungen getroffen hat. Das bedeutet konkret, dass ein Unternehmen, dass z. B. einen Datenschutzbeauftragten hat und auch andere interne Richtlinien oder Leitsätze, die datenschutzrechtliche Sachverhalte regeln, immer bessere Karten in einer datenschutzrechtlichen Konfliktsituation haben wird als ein Unternehmen, dass in diesen Bereichen grundsätzlich schlecht aufgestellt ist.
Auch bei Geltung der EU-Datenschutzgrundverordnung gilt nach wie vor:
Da nach Auffassung vieler Datenschutzexperten eine 100%ige datenschutzrechtliche Compliance nicht möglich ist – und ein Streben danach im Übrigen auch hinsichtlich des Aufwands an Zeit und Kosten unverhältnismäßig wäre –, fahren Unternehmen zurzeit am besten, wenn sie einen gewissen datenschutzrechtlichen Mindeststandard einhalten. Hierzu gehören insbesondere ein Datenschutzbeauftragter, der sämtliche datenschutzrelevanten Bereiche des Unternehmens kritisch prüft und dafür sorgt, dass z. B. in Arbeitsverträgen oder unternehmensinternen Richtlinien datenschutzrechtliche Sachverhalte korrekt geregelt werden. Außerdem gehört die Herstellung einer datenschutzrechtlichen Sensibilisierung aller Mitarbeiter zu diesem Mindeststandard, bei dem – etwa durch regelmäßige Schulungen – die „Basics“ des Datenschutzrechts vermittelt werden (s. hierzu noch sogleich).
Ganz allgemein gilt nach wie vor, dass sehr viele Unternehmen, gerade kleinerer Natur oder im mittelständischen Bereich, keinerlei datenschutzrechtliche Vorkehrungen getroffen haben. Oftmals fehlt es auch an der notwendigen Sensibilisierung der Mitarbeiter, etwa durch kurze, empfehlenswerte Weise alle zwei Jahre durchzuführenden Schulungen im Datenschutzbereich. Hier sollten die „Basics“ des Datenschutzrechts deutlich gemacht werden. Dass das noch nicht der Fall ist, kann jedermann sehen, der in der S-Bahn fährt und dort beobachten kann, wie Mitreisende etwa Akten bearbeiten oder eigentlich vertrauliche geschäftliche Telefonate führen. Vorsicht ist auch bei ganz alltäglichen Aufgaben angebracht, wie z. B. beim Kopieren (zuweilen kann es passieren, dass ein kleiner Druckauftrag zwischen einem großen ausgedruckt wird oder liegenbleibt und dies später nicht heraussortiert wird). Eine Sensibilisierung muss auch im Bereich des E-Mail-Verkehrs erfolgen, um z. B. zu verhindern, dass über Smartphones Mails an Personen geschickt werden, die nicht zum eigentlich beabsichtigten Adressatenkreis gehören (beliebt sind hier z. B. die „Autovervollständigen“-Funktionen der entsprechenden E-Mail-Programme).
Weiterhin ist zu berücksichtigen, dass der Datenschutz immer von einer profunden Datensicherheit begleitet werden muss. Hierzu gehören neben regelmäßigen „Backups“ auch die passwortgeschützte Verschlüsselung von Computern und Smartphones sowie ein permanent aktualisierter Schutz gegen Angriffe von außen, zu denen etwa auch Viren oder andere Schadsoftware gehören.
Zusammenfassend bleibt festzustellen, dass die EU-Datenschutzgrundverordnung sicherlich nicht zu einer vollkommen neuartigen Regelung datenschutzrechtlicher Sachverhalte führen wird, was sicherlich auch daran liegt, dass das bisherige Datenschutzrechtsniveau in Deutschland sehr hoch war und die Verordnung eine Vielzahl im deutschen Recht bereits vorhandener Regelungen nun auch auf die EU erstreckt. Allerdings werden die zahlreichen unbestimmten Rechtsbegriffe zunächst einer Erläuterung und Auslegung bedürfen. Diese wird u.a. auch in einem Ergänzungsgesetz zum Bundesdatenschutzgesetz geregelt. Es ist allerdings unsicher, ob dies noch in dieser Legislaturperiode verabschiedet werden kann.
So ganz wollen wir uns dem allgemeinen Hype um die EU-Datenschutzgrundverordnung allerdings nicht entziehen, weswegen wir dazu eine SCHLARMANNvonGEYSO-Mandantenveranstaltung anbieten, die am Dienstag, 28.02.2017
bei „Enzo Due“ in gemütlich-lecker-italienischer Atmosphäre stattfinden wird und bei der auch andere aktuelle medienrechtliche Themen angesprochen werden.
Bitte melden Sie sich gerne unverbindlich an mit einer Mail an Frau Jane Henkens, henkens@schlarmannvongeyso.de.
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden. Für Fragen stehen wir Ihnen gerne zur Verfügung.
Bild: © Shutterstock / wavebreakmedia