Embed Size (px)
Citation preview
3/4 • 2018Inhaber im Mittelstand • Zeitschrift für Familienunternehmenunternehmermagazin
unte
rneh
mer
magazin
66. Jahrgang • G 4012 • 12,50 Euro
»Digitale Zwillinge«Transparenz der Produktion
Titelthema
SachversicherungenSchäden und Erstattungen
Extra
BrancheninterviewFinTechs aus der Innensicht
Special
Industrie 4.0 | Menschen und MaschinenStandort DeutschlandTitelthema
Mittelstands-finanzierungMittelstands-finanzierung
SpecialSpecial
Titelthema
Standort DeutschlandIndustrie 4.0 | Menschen und Maschinen
Standort Deutschland | »Industrie 4.0«Titelthema
Die neue EU-Datenschutzgrundverordnung(DSGVO) ist seit dem 25. Mai in allen EU-Mitgliedstaaten geltendes Recht. Viele Un-ternehmen haben die im Mai 2016 vorgese-hene zweijährige Übergangs- und Vorberei-tungszeit für erhebliche, teilweiserecht heterogene Maßnahmen zurUmsetzung und Anpassung ihresDatenschutzes genutzt, wäh rendandere immernochkeineoder nurunzureichendeAnstrengungenu n -ternehmen. Dabei haben sich alleUnternehmen und alle sonstigendatenschutzrechtlich Verantwort-lichen an die neuen, meist strenge-ren Anforderungen der DSGVOzu halten. Zeit also, um eine ersteBilanz zu ziehen und die weiterenHerausforderungen zu skizzieren.
Abmahnwelle ausgeblieben > Für Unter-nehmen positiv ist, dass die befürchtete Ab-mahnwelle wegen (vermeintlicher) Verstößegegen die DSGVO bis auf einige Versuche,die dann jedoch oft von »fragwürdigen Ab-mahnanwälten« kamen, weitgehend ausge-blieben ist. Anlässe waren meist unterlas-sene Datenschutzhinweise auf der Website(A rt. 13 DSGVO) sowie die fehlende Ver-schlüsselung von Kontaktformularen aufWebsites (Art. 32 Abs. 1 lit. a) DSGVO). Beialledem ist heute umstrittener als zuvor, obKonkurrenten bzw. Wettbewerbs- und Ver-braucherverbände überhaupt die Berechti-gung haben, im Sinne des deutschenWett-
bewerbsrechts (Ge setz gegen den unlauterenWettbewerb, UWG) Unterlassungsansprü -che wegen Datenschutzverstößen geltend zumachen. Insoweit dürften die in derDSGVOausgedrückten Sanktionen bei Daten schutz -
ver stö ßen (Art. 77 ff. DSGVO) abschließendsein. Außerdem legt die Bundesregierungmöglicherweise schon bald einen Gesetzes-vorschlag zur Bekämpfung von Abmahn-missbrauch vor, der speziell missbräuchlicheDSGVO-Abmahnungen eindämmen will.Einen ähnlich lautenden Gesetzentwurf hatBayern bereits Ende Juni in den Bundesrateingebracht.AbgemahntenUnternehmen istzu raten, die Schreiben nicht zu ignorieren,sondern sie ohne Panikattacken kritisch zuprüfen und gut begründet zurückzuweisen.
Aufsichtsbehörden überlastet >TatsächlichsindjedochnichtnurdieUnternehmen, son-
dern auch die Aufsichtsbehörden mit derDSGVO und deren Umsetzung überlastet.DieDatenschutzaufsichtsbehördender Bun -desländer verzeichnen gegenwärtig so vieleNachfragen und Beschwerden zur DSGVO,
dass sie ihre Kommunikationska -näle teilweisereglementierenmus s - ten und wohl noch einige Zeit mitder Bewältigung dieser ersten Ein-gaben aus Unternehmen und vonBürgern beschäftigt sein dürften.
Unternehmen bisher nur bedingtDSGVO-konform>Der über wi e -gende Teil der Unternehmen hatdie Umsetzung der DSGVO längstnochnicht abgeschlossen. Laut ak -tuellen Studien ist mindestens einDrittel noch nicht DSGVO-kon-form oder hat sich noch gar nicht
verbindlich mit der DSGVO beschäftigt. Beisehr vielen anderen Unternehmen gibt esimmer noch größere und kleinere Lückenhinsichtlich der Umsetzung der Anforde-rungen der DSGVO. In der Regel wurdenneue Verarbeitungsverzeichnisse (Art. 30DSGVO), neue Datenschutzhinweise, spezi-ell für Websites (Art. 13 DSGVO), und neueVereinbarungen hinsichtlich der Auftrags-verarbeitung (Art. 28 DSGVO) erstellt. Da -für besteht noch Nachholbedarf bei der sy-stematischen Rechtmäßigkeitsprüfung vonDatenverarbeitungsprozessen (Art. 5 Abs. 1lit. a), 6 DSGVO), bei der Einrichtung vonProzessen zur Erfüllung der Rechte Betroffe-
Erfahrungen mit dem neuen Datenschutzrecht (DSGVO)
Höchste Zeit
32 unternehmermagazin 3/4·2018
Antje MünchDr. Markus Klinger
Erfüllung der DSGVO • Zahlreiche Auslegungsfragen mit Spielraum für risikoangemessene Lösungen
Betrieblicher DatenschutzSchritt für Schritt – gemäßEU-Datenschutz-GrundverordnungLösungen zur praktischen Umsetzung Textbeispiele, Musterformulare, Checklistenvon Dr. Grit Reimann2. Auflage 2018. 204 Seiten. A4. Broschiert.68,00 EUR | ISBN 978-3-410-27981-5
In diesem Buch wird Schritt für Schritt erläutert, wie betrieblicher Datenschutzin der Praxis umgesetzt werden kann. Datenschutzbeauftragte (DSB) erhalten einen konkreten Leitfaden mit vielen Beispielen und über 45 Mustervorlagen.
Betrieblicher Datenschutz– Das Praxisbuch –
Aus der Rezension zur 1. Auflage„ [...] Dabei gelingt der Autorin mit ihrem Buch, was nicht immer glückt: betrieblichen Datenschutz begreiflich zu machen. [...] “Dipl.-Inform. Udo Wenzel, Berufsverband der Datenschutz-beauftragten Deutschlands (BvD) e. V.
Hier können Sie [email protected] +49 30 2601-1331 Telefax +49 30 2601-1260Beuth Verlag GmbH | Am DIN-Platz Burggrafenstraße 6 | 10787 Berlin
Auch als E-Book und E-Kombi (Buch + E-Book)
unternehmermagazin 3/4·2018 33
ner auf Auskunft, Berichtigung und Daten -übertragbarkeit (Art. 15 ff. DSGVO) sowiehinsichtlich der Erstellung und Implemen-tierung eines DSGVO-konformen Lösch-konzepts (Art. 5 Abs. 1 lit. e), 17 DSGVO).
Wichtig ist, zu verstehen, dass DSGVO-Konformität zuerreichenkeineeinmaligeS a - che, sondern einebleibende Aufgabe ist. Un-ternehmen haben den Datenschutz künftigvor allem vor der Einführung neuer P ro duk -te und Dienstleistungen sowie vor der Eta-blierung neuer Prozesse früh mitzudenken(Art. 25 DSGVO). Dabei geht es insbeson-dere um Datenschutz durch technische Ge-staltungen (»Privacy by design«) sowie umDatenschutz durch datenschutzfreundlicheVoreinstellungen (»Privacy by default«).
Herausforderungen bleiben bestehen >Dies zeigt, dass die Herausforderungen fürUnternehmenmit dem Wirksamwerden derDSGVO nicht geringer geworden sind. Da-zu tragen die vielfältigen Unsicherheiten bei,wie manche Vorschriften der DSGVO aus-gelegt und sinnvoll umgesetzt werden sol-len. Denn die DSGVO schafft zwar als eu-ropäische Rechtsverordnung grundsätzlichin allen EU-Mitgliedstaaten ein unmittelbaranwendbares, einheitliches Datenschutz-recht, doch sie enthält auch zahlreiche Öff-nungsklauseln, die es den Mitgliedstaatenerlauben, bestimmte Bereiche und Regelun-gen auszugestaltenund zukonkretisieren.
So obliegt der gesamte Bereich des Be-schäftigtendatenschutzes der Ausgestaltungdurch die Mitgliedstaaten, so dass hier dochwieder verschiedene Regelungen in der EUentstehen, was internationale Unternehmenund internationale Projekte behindert. Fer-ner sind die Aufsichtsbehörden sehr um Be-ratung und Hilfen speziell für KMU undVereine bemüht. Die von der Datenschutz-konferenz (DSK), dem Gremium der deut-schen Aufsichtsbehörden des Bundes undder Länder, sowie der »Art. 29-Gruppe«, al-so der Vereinigung der europäischen Daten-schutzaufsichtsbehörden, publizierten Be-schlüsse, Orientierungen und Hinweise sindfreilich überwiegend nur bedingt hilfreich,da sie oft zu unspezifisch und teilweise völligtheoretisierend sind. Zumal die Papiere d erDSKzurÜbermittlungvonE-Mail-Adressenvon Onlineversandhändlern an Postdienst-leister (23.03.2018)undzurVerwendungv onTracking-Tools auf Websites (26.04.201 8)haben vor allem wegen ihrer Praxisferne für
berechtigte Kritik gesorgt. Indessen wirdsich eine europaweit einheitliche, verbindli-cheAuslegung undAnwendung derDSGVOerst durch Richtlinien von Gremien wie desEuropäischen Datenschutzausschusses unddesEuropäischen Gerichtshofs (EuGH) her-ausbilden. Unternehmen und Aufsichtsbe -hörden werden daher vorerst mit nicht we-nigen Rechtsunsicherheiten leben müssen.
Für Unternehmen ist das angesichts derdrastisch erhöhten SanktionsandrohungenfürDatenschutzverstöße mit Bußgeldern biszu 20 Millionen Euro oder maximal 4 % desweltweiten Vorjahreskonzernumsatzes eineenorme Bürde und ein großes Risiko. Ande-rerseits haben die Aufsichtsbehörden an-gekündigt, in Fragen, in denen noch keineRechtsklarheit besteht, keine Bußgelder zuverhängen. Firmen sollten also diese Ausle-gungsfragen nutzen, um durch Erarbeitungkreativer, risikoangemessener Lösungen, ge-gebenenfalls im Dialog mit den Aufsichts-behörden, von den datenschutzrechtlichenGestaltungsspielräumen zu profitieren.
Keine Schonfrist für die Umsetzung derDSGVO-Grundanforderungen > Die Auf-sichtsbehörden haben unmissverständlichklargestellt, dass es keine weitere Schonfristmehr gibt, so dass bei erheblichen und kla-ren DSGVO-Verstößen unter Umständendoch mit Bußgeld-Verfahren zu rechnen ist.Insofern kommt kein Unternehmen umhin,falls noch nicht (ganz) geschehen, ba l d mög -lichst zumindestdie »DSGVO-Grund-Com -pliance« herzustellen. Zum Einstieg könnendievondenAufsichtsbehördenbereitsvor ei-niger Zeit publizierten Fragebögen zur Um-setzung der DSGVO dienen, die von ihnenschonsporadisch für erste Prüfungen in Un-ternehmen herangezogen werden.
Fazit > Auch wenn die erste Abmahnwelleausgeblieben ist und die Aufsichtsbehördenzu überlastet sind, um Unternehmen syste-matisch zu prüfen, ist das kein Grund, umabzuwarten. Unternehmen sollten engagiertan der Umsetzung der Anforderungen derDSGVO arbeiten, vor allem an der »Grund-Compliance«, um Prozesse und Ressourc enzu etablieren, die den Datenschutz voll undd a u erhaft in ihrem Handeln verankern. �
Dr. Markus Klinger, Fachanwalt für IT-Recht, und Antje Münch, LL.M.,
Heuking Kühn Lüer Wojtek, Stuttgart
