Mit dem Ende des Weihnachtsgeschäfts wurde es ernst in der Buchhandlung Graff in Braunschweig. Die Vorbereitungen für die EU-Datenschutz-Grundverordnung seien nun in eine intensive Phase getreten, sagt Geschäftsführer Thomas Wrensch, Mitglied im Sortimenter-Ausschuss des Börsenvereins. Er weiß, dass nicht mehr viel Zeit bleibt. Am 25. Mai wird die Vorschrift nach zweijähriger Übergangsphase verbindlich. Bei Missachtung drohen hohe Bußgelder.
Wrensch und seine 70 Mitarbeiter haben gut vorgearbeitet. Ein Datenschutzbeauftragter für das Unternehmen ist bestellt. Außerdem hat das Graff-Team vor Kurzem mehr als 100.000 inaktive Kundendatensätze gelöscht. Die können schon mal keine Probleme mehr machen.
Worum geht es in der Datenschutz-Grundverordnung, kurz DSGVO, die seit Ende 2015 wie ein Schreckgespenst über der Wirtschaft schwebt und nach wie vor viele Fragen aufwirft? Zunächst einmal geht es um nicht mehr und nicht weniger als eine weitgehende Vereinheitlichung des europäischen Datenschutzrechts. Denn trotz EU-Richtlinie galten in den Mitgliedsstaaten bislang teils sehr unterschiedliche Datenschutzgesetze – wenngleich Interessenvertretungen wie der Digitalverband Bitkom betonen, dass die Prinzipien der DSGVO das Bundesdatenschutzgesetz "im Großen und Ganzen" nicht neu erfinden. Heißt laut Bitkom: "Wer sich im Unternehmen auch bisher um Datenschutz gekümmert hat, sollte auch in Zukunft trotz der höheren Sanktionen nicht viel zu befürchten haben."
Die DSGVO will die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Privatheit schützen. Ferner will sie einen freien Verkehr dieser Daten und deren Verarbeitung nach folgenden Grundsätzen gewährleisten: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.
Unternehmen und öffentliche Stellen müssen künftig ein ganzheitliches DSGVO-konformes Datenschutzmanagement nachweisen. Gemäß der neuen Rechenschaftspflicht liegt die Beweislast dafür grundsätzlich bei ihnen. Die Einhaltung der DSGVO ist durch die EU-Datenschutzaufsichtsbehörden und die Gerichte überprüfbar.
In einer deutlich erweiterten Datenschutzerklärung haben die Unternehmen ihre Kunden, Lieferanten und Mitarbeiter on- wie offline darüber zu informieren,
- auf welcher Rechtsgrundlage sie die Daten verarbeiten,
- welchen Zweck sie damit verfolgen,
- wann die Daten wieder gelöscht werden (Recht auf Vergessenwerden).
An verschiedene Rechtsgrundlagen sind unterschiedliche Rechte geknüpft – die Einwilligung für den Erhalt eines Newsletters zum Beispiel erfolgt nach dem Wettbewerbsrecht. Bei einem klassischen Kaufvorgang, etwa im Buchhandel, handelt es sich um einen Vertrag beziehungsweise Vorvertrag.
Indem Unternehmen die jeweilige Rechtsgrundlage dokumentieren, stellen sie sicher, bei Ansprüchen schnell reagieren zu können. Denn in Deutschland können künftig auch Verbraucherschutzverbände und andere zivilrechtliche Akteure klagen, wenn etwa Daten rechtswidrig für Werbung, Markt- und Meinungsforschung, Adresshandel oder andere kommerzielle Zwecke verwendet werden. Theoretisch sind durch die DSGVO Klagen aus ganz Europa möglich.
Die DSGVO-konforme Datenverarbeitung muss nachgewiesen werden können. Hilfreich dabei ist ein Verfahrensverzeichnis, wie es schon das Bundesdatenschutzgesetz vorsieht. Ein weiterer wichtiger Punkt ist die sogenannte Datenschutz-Folgenabschätzung. Sie ist künftig für besonders risikobehaftete Datenverarbeitungen vorgeschrieben, etwa bei automatisierten Scoring-Verfahren, in denen persönliche Aspekte eines Betroffenen bewertet werden, wie etwa dessen Kreditwürdigkeit. "Wir werden sehr viel genauer dokumentieren müssen, was wir tun", sagt Thomas Wrensch. "Auch von unseren Geschäftspartnern, denen wir Daten geben, etwa den Barsortimenten, müssen wir uns zusichern lassen, dass sie die neuen Regelungen einhalten."
Hintergrund ist, dass sich mit der DSGVO die Haftungs- und Dokumentationspflichten auf die sogenannten Auftragsverarbeiter von Daten ausweiten. Je nach Zahl und Art der Geschäftsbeziehungen müssen die Akteure bis Mai viele Verträge überprüfen und gegebenenfalls anpassen. Der Aufwand, die DSGVO umzusetzen, bemisst sich für ein Unternehmen somit nicht nach seiner Größe, sondern nach der Zahl der vorhandenen und genutzten Datenkreise.
Deshalb gebe es, so Bitkom, für den 25. Mai auch "keine Musterlösung, da jedes Unternehmen durch sein eigenes Geschäftsmodell auch unterschiedliche Datenverarbeitungsvorgänge durchführt".
"Es geht nicht nur darum, ein paar Texte zu verändern": Das macht auch Rita Bottler deutlich, Datenschutzbeauftragte der IHK München und Oberbayern. "Die DSGVO klingt harmlos, aber sie verlangt, ein Datenschutzmanagementsystem zu implementieren. Das bedeutet, dass Unternehmen in dieser Hinsicht alle ihre Geschäftsprozesse überprüfen, die vorschriftsmäßige Umsetzung vornehmen und diese auch nachweisen müssen."
Am besten beginnt man mit einer Bestandsaufnahme, rät die IHK: Welche Geschäftsprozesse sind datenschutzrelevant? Sind bereits Datenschutzvorgaben vorhanden? Welche Anpassungen an die höheren Anforderungen der DSGVO sind nötig? Daraus ergeben sich die weiteren Schritte.
Auch die Meldepflicht bei Datenpannen wird durch die Neuregelung ausgeweitet. So muss die Aufsichtsbehörde binnen 72 Stunden informiert werden, sofern ein Risiko für die Rechte und Pflichten der Betroffenen besteht. Bei hohem Risiko, etwa wenn Kreditkartendaten mit im Spiel sind, müssen zudem auch unverzüglich die Betroffenen selbst unterrichtet werden.
Des Weiteren muss jedes Unternehmen, in dem zehn oder mehr Personen Daten IT-gestützt verarbeiten, einen Datenschutzbeauftragten benennen, der Aufsichtsbehörde mitteilen und dessen Kontaktdaten veröffentlichen. Für Datenschutzbeauftragte gibt es keine vorgeschriebene Ausbildung, sie kommen aus verschiedenen Bereichen. Meist haben sie einen IT- oder juristischen Hintergrund. Man kann auch eigene Mitarbeiter schulen, Experten raten aber, wegen der komplizierten und sich ständig wandelnden Materie auf einen Dienstleister zurückzugreifen. Ein externer Datenschutzbeauftragter brauche ohnehin immer einen internen Ansprechpartner, der die Abläufe im Unternehmen kennt, weiß Rita Bottler.
Nach außen verantwortlich bleibt gemäß DSGVO ohnehin stets die Unternehmensleitung. Dass sie sich mit den neuen Regelungen befasst, ist unabdingbar. "Man sollte die Fachbegriffe und grundsätzlichen Vorgaben der DSGVO kennen", sagt Bottler. Dafür muss man nicht das gesamte Gesetz lesen. "Gute Handreichungen, etwa vom Bayerischen Landesamt für Datenaufsicht, sind da hilfreich." Auch die IHK veröffentlicht Checklisten und Muster und veranstaltet Seminare: "Die Kurse sind seit Monaten gut besucht", beobachtet Bottler. "Man merkt, dass die Unternehmen sich mit dem Thema befassen, um Strafen und Imageschäden zu vermeiden."
Dennoch hatten laut einer Umfrage des IT-Branchenverbands Bitkom im vergangenen September erst 13 Prozent der Firmen mit der Umsetzung der DSGVO begonnen. Als größte Hemmnisse werden der unklare Umsetzungsaufwand und Rechtsunsicherheit genannt. Thomas Wrensch wundert das nicht. "Von den Datenschutzbehörden kommt kaum Unterstützung", sagt der Geschäftsführer der Buchhandlung Graff. Auch Literatur speziell für Händler sucht man vergebens. Er hat sich vor allem durch Bitkom-Unterlagen informiert und Seminare besucht – wozu er allen Kollegen ebenfalls rät. "Vieles an der Datenschutzgrundverordnung ist ja noch gar nicht genau geregelt", sagt Wrensch – "bis die ersten Urteile und Kommentare kommen. Insofern wird uns das Gesetz noch lange beschäftigen."
In diesem Sinne habe die Rechtsunsicherheit auch einen Vorteil – nämlich einen gewissen Interpretationsspielraum, so Dirk Platte, Justiziar beim Verband deutscher Zeitschriftenverleger. Er macht noch einmal deutlich, dass nicht nur der Handel dringend aktiv werden muss: "Verlage sind in besonderem Maße von der DSGVO betroffen, weil sie ihre Kunden oft ansprechen" – etwa, wie im Fall der Zeitschriftenhäuser, um sie als Abonnenten zu gewinnen und zu halten.
Problematisch wird die Umsetzung der Verordnung für die Unternehmen allerdings, wenn die EU die neue E-Privacy-Richtlinie nicht ebenfalls bis Ende Mai verabschiedet, was zeitlich kaum mehr zu schaffen ist. "Dann hätten wir de facto unterschiedliche Rechtslagen, zum Beispiel bei Informationspflichten", sagt Rita Bottler.
Von E-Privacy wären vor allem der Onlinehandel und die Werbeindustrie betroffen, denn dann dürften keine Nutzerdaten, etwa Cookies, ohne ausdrückliche Einwilligung der Betroffenen zu Werbezwecken genutzt werden. Dieser Vorgang werde die Erhebung von Daten stärker beschränken als die Datenschutzgrundverordnung, so glauben Experten.
Thomas Wrensch macht gerade eine Bestandsaufnahme seiner Technik. "Wir müssen schauen, ob unsere Systeme alles leisten, was sie leisten müssen – zum Beispiel Daten automatisch nach einer bestimmten Laufzeit zu löschen. Nicht jedes Programm kann das." Zumindest in einem Punkt wird er künftig sparen: Die Videoüberwachung im Geschäft, die bislang der Diebstahlsvorbeugung diente, wird abgeschaltet. Denn nach der DSGVO dürfen Mitarbeiter praktisch nicht mehr aufgenommen werden: "Wir wollen so wenig wie möglich Angriffsfläche bieten." Insgesamt wird Wrensch einen fünfstelligen Betrag in die Umsetzung der neuen Vorschriften investieren, vor allem für die Arbeitszeit seines Personals, aber auch für den Datenschutzbeauftragten. Das ist übrigens ein Klacks im Vergleich zum möglichen Bußgeld: Bis zu 20 Millionen Euro (beziehungsweise vier Prozent des weltweiten Vorjahresumsatzes) stehen bei Verstößen gegen die DSGVO im Raum.
Bleibt die Frage, wie intensiv die Datenschutzwächter die Einhaltung der neuen Regeln prüfen werden. Doch ganz unabhängig davon rät IHK-Expertin Rita Bottler dringend zur Umsetzung der Verordnung: "Man muss, wenn man angefragt wird, vor allem nachweisen, dass man auf einem guten Weg ist – und wesentliche Vorgaben bereits erfüllt."
Datenschutz im Firmenalltag zu leben – in Verbindung mit einer gesunden Portion Pragmatismus: Das empfiehlt auch Michael Vogelbacher, Rechtsanwalt, juristischer Unternehmensberater und für die Landesverbände des Börsenvereins als Seminarreferent in Sachen DSGVO unterwegs. Viele Unternehmer stöhnen angesichts der neuen Auflagen zwar auf, doch Vogelbacher erkennt durchaus Chancen fürs Qualitätsmanagement: "Im Zuge der Umsetzung lassen sich interne Prozesse der Datenverarbeitung optimieren, alte Datenbestände bereinigen, IT-Systeme besser schützen."
EU-Parlamentarier und Fachautor Jan Philipp Albrecht wies 2016 in einem Börsenblatt-Interview auf einen weiteren Pluspunkt hin: Die EU wolle mit der DSGVO auch für mehr "Waffengleichheit" sorgen: "Internetkonzerne, die meist aus den USA auf den europäischen Markt kommen und hier mit Daten arbeiten, werden deutlich schärfer ins Blickfeld der Datenschutzbehörden geraten."
Ein weiterführendes Interview mit Michael Vogelbacher finden Sie hier: boersenblatt.net/1425994/ – und auf bookbytes: boersenblatt.net/1360325/.
Ab dem 25. Mai sind die neuen Datenschutzbestimmungen von Unternehmen anzuwenden. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die 20 Jahre alte Datenschutz-Richtlinie.
- Das Regelwerk gilt für alle Firmen, die in der EU tätig sind, unabhängig vom Sitz. Es soll für Wettbewerbsgleichheit sorgen und Bürgern mehr Kontrolle über ihre Daten geben (etwa beim Recht auf Vergessenwerden, Direktmarketing).
- Ein Datenschutzbeauftragter ist Pflicht, je nach Nutzungsumfang personenbezogener Daten und Mitarbeiterzahl. Ausgenommen sind etwa örtliche Einzelhändler, die Kunden einmal jährlich Werbung schicken – nicht jedoch eine kleine Personalagentur, die Personenprofile erstellt.
- Erster Ansprechpartner und Ratgeber sind die Industrie- und Handelskammern, die ihre Mitglieder umfassend über die neue EU-DSGVO informieren.
- Ein Leitfaden der EU-Kommission ist abrufbar unter http://bit.ly/eu-leitfaden.
- Die Landesverbände des Börsenvereins bieten (teils ausgebuchte) Seminare an – etwa am 6. Februar in Heidelberg (Referent: Michael Vogelbacher, Details: www.fortbildung-buchhandel.com). Speziell an Fachverlage richtet sich ein Termin am 22. März in Düsseldorf (Regionalbüro NRW, mehr unter www.mediacampus-frankfurt.de).