EU-Datenschutz: Was sich ändert, was zu tun ist

Nach langen Verhandlungen liegt endlich die EU-Datenschutz-Grundverordnung vor, die sämtliche Unternehmen betrifft. Die Vorschriften müssen nicht in nationales Recht umgesetzt werden, sondern ersetzen – nach einer zweijährigen Übergangsfrist – automatisch die bisherigen Regelungen in den Mitgliedstaaten. PwC-Legal-Experte Dr. Jan-Peter Ohrtmann erklärt im Interview, was sich ändert, wie Unternehmen jetzt reagieren sollten und warum zögerliches Handeln teuer werden kann.

Herr Ohrtmann, mit der Datenschutz-Grundverordnung will die EU für mehr Transparenz sorgen und die Rechte der Kunden stärken. Was bedeutet das konkret?

Jan-Peter Ohrtmann: Unternehmen müssen ihre Kunden in Zukunft umfassender und genauer informieren. In den meisten Fällen dürfte es deshalb erforderlich sein, Datenschutzhinweise anzupassen und die Einwilligungserklärungen zur Datenerhebung und -verwendung neu einzuholen. Zudem sorgen die neuen Vorschriften dafür, dass Kunden aber auch sonstige Betroffene in größerem Umfang kontrollieren und bestimmen können, was mit ihren Daten geschieht.

Inwiefern?

Ohrtmann: Die Datenschutz-Grundverordnung schreibt beispielsweise das vom Europäischen Gerichtshof bereits formulierte „Recht auf Vergessenwerden“ gesetzlich fest. Das bedeutet: Kunden haben künftig einen Anspruch darauf, dass ihre personenbezogenen Daten gelöscht werden. Auch ein Recht auf Datenportabilität wird eingeführt. Kunden können die Übertragung ihrer Daten zu einem anderen Anbieter veranlassen. Eine weitere praxisrelevante Vorschrift ist, dass Unternehmen auf Wunsch sämtliche Empfänger der Daten nennen müssen. Das wird dazu führen, dass sie verstärkt durch Datenlandkarten die Datenflüsse kontrollieren müssen. All das erfordert neue organisatorische und teilweise auch technische Prozesse.

In der Datenschutz-Grundverordnung werden die Prinzipien „privacy by design“ und „privacy by default“ genannt. Was verbirgt sich hinter diesen Begriffen?

Ohrtmann: Privacy by design bedeutet, dass Unternehmen die Belange des Datenschutzes und der Privatsphäre bereits bei der Entwicklung neuer Technologien berücksichtigen müssen. Dies ähnelt letztendlich stark dem schon jetzt geltenden Erforderlichkeitsgrundsatz. Mehr Kopfzerbrechen dürfte der Grundsatz „privacy by default“ bereiten. Damit sind – vereinfacht ausgedrückt – datenschutzfreundliche Voreinstellungen gemeint, etwa bei technischen Geräten oder bei Services. Der Datenschutz gewinnt somit bereits in der Design-Phase an Bedeutung. Organisatorisch werden beide Prinzipien in die Pflicht zur Durchführung von sogenannten Data Protection Impact Assessements eingebunden. Die aktuell geltende Vorabkontrolle von geplanten Datenverarbeitungsvorgängen wird hierdurch stärker formalisiert.

Die Neuregelungen sind zahlreich und komplex. Wer soll das kontrollieren?

Ohrtmann: Die Datenschutz-Grundverordnung enthält Regelungen, mit denen die Aufsichtsbehörden gestärkt werden sollen – auch, was die personelle und finanzielle Ausstattung angeht.

Wird es den betrieblichen Datenschutzbeauftragten in seiner jetzigen Form nicht mehr geben?

Ohrtmann: Doch, aller Voraussicht nach werden Unternehmen wie bisher betriebliche Datenschutzbeauftragte bestellen müssen. Der deutsche Gesetzgeber scheint insofern von einer Öffnungsklausel Gebrauch zu machen und nationales Recht schaffen zu wollen. Nach aktuellem Recht müssen Unternehmen bei Bestellung eines betrieblichen Datenschutzbeauftragten Datenverarbeitungsprozesse grundsätzlich nicht der Aufsichtsbehörde melden. Künftig werden Unternehmen jedoch sowohl einen Datenschutzbeauftragten bestellen als auch Datenverarbeitungsprozesse der Aufsichtsbehörde melden müssen. Für die deutschen Unternehmen entsteht doppelter Aufwand.

Müssen sich international tätige Unternehmen mit verschiedenen nationalen Aufsichtsbehörden auseinandersetzen?

Ohrtmann: Nein, erfreulicherweise soll für sie das One-Stop-Shop-Prinzip gelten. Das bedeutet, dass eine Behörde federführend für sie zuständig ist.

Welche Sanktionen drohen, wenn die Behörde Verstöße feststellt?

Ohrtmann: Es drohen Strafgelder in Höhe von bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro – je nachdem, welcher Betrag höher ist. Der Datenschutz wird allein deshalb für die Compliance-Strukturen der Unternehmen immer wichtiger. Verantwortliche sollten unbedingt sicherstellen, dass ihr Unternehmen die unternehmensspezifischen Datenschutzrisiken kennt und minimiert.

Was empfehlen Sie konkret?

Ohrtmann: Trotz der zweijährigen Übergangsfrist sollten Unternehmen umgehend beginnen, ihre Datenschutz-Organisation, die Technik und die Prozesse zu analysieren. Der Aufwand für die Umsetzung wird häufig unterschätzt. Dies gilt insbesondere, wenn Änderungen an Software erforderlich werden.

Sie sprechen in diesem Zusammenhang von einer Privacy Transformation. Wie funktioniert das – und welche Experten braucht man dafür?

Ohrtmann: Die Privacy Transformation ist ein strukturierter Prozess von der Identifikation der datenschutzrelevanten Prozesse, über die Bewertung bis hin zur Implementierung der neuen Vorgaben aus der Datenschutz-Grundverordnung und ihrer Überwachung. Dazu gibt es keine Pauschallösungen: Jedes Unternehmen hat eigene Risiken und einen individuellen Reifegrad was den Datenschutz angeht. Es gilt also, zum einen die gesetzlichen Änderungen zu identifizieren und zum anderen einen etwaigen Nachholbedarf. Um den jeweiligen Anforderungen unserer Kunden gerecht zu werden, kooperieren die Rechtsanwälte von PwC Legal eng mit den Datenschutzberatern und Experten aus dem Bereich Informationssicherheit der PwC Wirtschaftsprüfungsgesellschaft und stellen die erforderlichen multidisziplinären Teams zusammen.