DSGVO: Fast die Hälfte der Unternehmen unzureichend vorbereitet

Die Datenschutzgrundverordnung (DSGVO) tritt am 15. Mai 2018 in Kraft und noch viele Unternehmen treffen schleppende oder gar keine Vorbereitungen. Das kann sich rächen, denn die Zeit für eine erfolgreiche Umsetzung der neuen rechtlichen Anforderungen wird knapp.

Um den Ist-Zustand bei der Umsetzung der DSGVO in der deutschen Unternehmenslandschaft zu ermitteln, hat die IDC 251 Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt (Stand August 2017). In Anbetracht der Tatsache, dass Unternehmen nur etwas mehr als ein halbes Jahr haben, um compliant zu werden, fällt das Ergebnis ernüchternd aus. Zwar gaben 15% der befragten Unternehmen an, dass sie bereits jetzt vollständig compliant sind. 41% der Unternehmen haben zumindest vereinzelte Maßnahmen umgesetzt.

Demgegenüber stehen 44%, die noch keine Maßnahmen ergriffen haben. Diese setzen sich wie folgt zusammen: 16% haben zwar einen konkreten Plan, wie sie die DSGVO in ihrem Unternehmen umsetzen wollen. Begonnen haben sie damit aber noch nicht. 25% kennen die neuen Anforderungen, verharren jedoch in einer abwartenden Haltung. Erfreulich ist, dass die Zahl der Unternehmen, die sich mit der Thematik noch überhaupt nicht auseinandergesetzt haben, mit 3% marginal ist. Laut der IDC würden sich vor allem mittelständische Unternehmen schwertun. In diesem Segment gaben 40% der Befragten an, dass sie skeptisch sind, die Anforderungen fristgerecht umsetzen zu können.

Befragung offenbart: Unternehmen haben kaum Datenschutzbeauftragte

Interessante Einblicke gewährt die Befragung, wenn man etwas ins Detail geht. Eine Schlüsselposition für ein erfolgreiches Datenschutzmanagement im Unternehmen ist bei den meisten wohl unbesetzt: 83% haben keinen Datenschutzbeauftragten. Höhere Sanktionen in der DSGVO, wenn kein Datenschutzbeauftragter im Unternehmen ist, sind sehr wahrscheinlich der Grund, warum 50% zumindest in den nächsten Monaten einen Datenschutzbeauftragten einsetzen möchten. Auch der Branchenverband bitkom sieht diesen Zustand, mit Blick auf die Umsetzung des DSGVO und die aktuelle Rechtslage, kritisch.

Es ist zu begrüßen, dass viele Unternehmen jetzt einen solchen Datenschutzbeauftragten bestellen möchten. Allerdings kostet diese Versäumnis nun wichtige Ressourcen und relevantes Know-how bei der Umsetzung der DSGVO. Ein schon eingearbeiteter und erfahrener betrieblicher bzw. externer Datenschutzbeauftragter könnte die Umsetzung erheblich erleichtern.

Wer macht was mit welchen Daten? Vielen Unternehmen fehlt noch der Überblick

Hinzu kommt, dass noch viele Unternehmen keinen umfassenden Überblick über die Datenverarbeitungen in ihrem Unternehmen haben. Für einen rechtskonformen und effizienten Datenschutz ist gerade dies aber ein zentraler Aspekt. Wer nicht weiß, welche Daten wo verarbeitet werden und wer darauf Zugriff hat, kann sich schnell mit Beschwerden, den Datenschutzbehörden und Imageschäden konfrontiert sehen.

Die IDC-Umfrage hat nun ergeben, dass 23% nicht wissen, wo ihre Daten gespeichert werden. 27% sind nicht in der Lage anzugeben, wer Zugriff auf personenbezogene Daten hat. Mit hoher Wahrscheinlichkeit bedeutet dies auch, dass es keine wirksamen Zugangs- und Zugriffskontrollen zu den Daten gibt. 37% räumten zudem ein, dass ihre Daten unkontrolliert und dem Zugriff durch Mitarbeiter ausgesetzt auf den Servern zugänglich sind.

Fatal könnte sich auch auswirken, dass etliche Unternehmen besonders Anforderungen als weniger relevant zu betrachten scheinen, die auf die Benachrichtigung Dritter ausgelegt sind: 53% planen keine Einführung von Prozessen zur Benachrichtigung der durch die Datenverarbeitung betroffenen Personen, 47% wollen keine Prozesse zur, unter bestimmten Umständen allerdings gesetzlich verpflichtenden, Benachrichtigung der zuständigen Datenschutzbehörden etablieren. Alles in allem ein Bild, das — mit Blick auf die hohen Anforderungen der DSGVO — den noch enormen Handlungsbedarf bei deutschen Unternehmen unterstreicht.

Unternehmen müssen jetzt handeln

Unternehmen, die einen derartigen Handlungsbedarf wie den oben skizzierten aufweisen, sollten jetzt handeln. Bis zum Inkrafttreten der DSGVO bleibt nicht mehr viel Zeit und die Einführung eines rechtskonformen und effizienten Datenschutzmanagements, das sowohl dem Unternehmen als auch den Betroffenen nützt, braucht Zeit: ein geeigneter Datenschutzbeauftragter muss gefunden und geschult werden. Sämtliche Mitarbeiter müssen datenschutzrechtlich auf den aktuellen Stand gebracht werden. Insbesondere die unternehmensinternen Arbeitsprozesse bedürfen einer datenschutzrechtlichen Optimierung, um einen Datenschutz „on the job“ gewährleisten zu können. Unternehmen, die bis zum 25. Mai 2018 nicht compliant sind, drohen deutlich höhere Geldbußen als sie bislang im BDSG vorgesehen sind. Die Strafe kann bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe betragen.

Neue White Paper zur DS-GVO

Die neuen White Paper der Artikel 29-Datenschutzgruppe sind amtliche Leitlinien zur kommenden Datenschutz-Grundverordnung (DS-GVO). Diese Leitlinien sind nicht bindend, dienen aber oftmals der Orientierung.

Die White Paper im Überblick

Hinsichtlich der neuen DS-GVO und ihrer Umsetzung kommen immer wieder Fragen auf. Aus diesem Grund hat die Artikel 29-Gruppe mehrere White Paper veröffentlicht, die Betroffenen und Datenverarbeitern Orientierung geben sollen. Die White Paper sind

Diese Leitlinien haben zwar keine rechtsverbindliche Wirkung. Die Artikel 29-Gruppe ist aber ein offizielles und unabhängiges Beratungsgremium der EU-Kommission für Fragen des Datenschutzes, ihre Einschätzungen und Richtlinien entbehren nicht eines gewissen Einflusses. Schließlich dienen die White Paper den Aufsichtsbehörden bei der Bewertung kritischer Sachverhalte häufig als Auslegungshilfe.

Kommt mit der DS-GVO ein eigener Arbeitnehmerdatenschutz?

Seit Einführung des Bundesdatenschutzgesetzes steht immer wieder ein eigener Arbeitnehmerdatenschutz im Raum. Dieser könnte mit der neuen Datenschutz-Grundverordnung (DS-GVO) kommen.

Wie umgehen mit den Daten von Arbeitnehmern und den speziellen arbeitsrechtlichen Anforderungen an den Datenschutz? Diese Fragen müssen Unternehmen im Arbeitsalltag häufig beantworten. Immer wieder wurde zudem darauf spekuliert, dass in Deutschland ein eigenes Gesetz zum Schutz von Beschäftigtendaten verabschiedet wird. Mit Hinweis auf die kommende DS-GVO wurde eine nationale Gesetzgebung verschoben.

Arbeitnehmerdatenschutz nicht einheitlich geregelt

Die verabschiedete DS-GVO enthält keine einheitliche Regelung zum arbeitnehmerdatenschutz. Stattdessen enthält der Art. 88 DS-GVO eine sog. Öffnungsklausel, die EU-Mitgliedstaaten die Möglichkeit zur eigenen Regelung einräumt, worauf der Deutsche Anwaltverein (DAV) in einer Stellungnahme aufmerksam macht.

Der entsprechende Referentenentwurf der Bundesregierung zur notwendigen Neufassung des Bundesdatenschutzgesetzes (BDSG) sieht in § 24 BDSG-neu Regelungen vor, die weitestgehend den bestehenden entsprächen. Der DAV kritisiert ferner, dass der Entwurf nicht die Möglichkeit einer datenschutzrechtlichen Sonderregelung für Unternehmensregelung weiter aufgreift.

Begriff der Unternehmensgruppe

Die DS-GVO führt den Begriff der „Unternehmensgruppe“ ein. Dadurch soll die Weitergabe von Arbeitnehmerdaten innerhalb eines Konzerns, bspw. zu Verwaltungszwecken, erleichtert werden. Basis ist hierbei eine gesetzliche Grundlage, i.d.R. der Arbeitsvertrag, und ein „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DS-GVO) des Datenverarbeitenden. In Erwägungsgrund 48 S. 1 DS-GVO wird der konzerninterne Austausch von personenbezogenen Daten (d.h. nicht nur Arbeitnehmerdaten, sondern bspw. auch Kundendaten) ausdrücklich als berechtigtes Interesse privilegiert. Voraussetzung ist aber ein ausreichend hohes Datenschutzniveau innerhalb der Unternehmensgruppe.

Abgesehen von den gesetzlichen Anforderungen wird Unternehmen hier ein Anreiz gesetzt, sich um ein modernes Datenschutzmanagement auf dem Stand der Technik zu bemühen. Letztlich vereinfacht es ihnen die konzerninterne Verarbeitung personenbezogener Daten.

Ob der Entwurf überarbeitet wird und die Sonderreglung für Unternehmensgruppen darin eine Aufnahme findet, bleibt abzuwarten. Hinsichtlich eines Arbeitnehmerdatenschutzes ist nun doch wieder der deutsche Gesetzgeber am Zug.

Referentenentwurf zur Anpassung des Datenschutzrechts

Mit der beschlossenen Datenschutz-Grundverordnung (DS-GVO) kommt eine Anpassung des deutschen Datenschutzrechts. Doch auch nach mehrmaligen Anläufen reißt die Kritik am aktuellen Referentenentwurf nicht ab. Die Regierung läuft Gefahr, dass der Europäische Gerichtshof (EuGH) die Regelungen für rechtswidrig erklärt.

Die DS-GVO hat den Zweck in der EU ein einheitliches Datenschutzniveau und damit einen harmonisierten digitalen Binnenmarkt sowie Rechtssicherheit für Bürger und Unternehmen zu schaffen. Als Verordnung gilt sie unmittelbar in allen Mitgliedsstaaten der EU. Allerdings sieht die DS-GVO insgesamt 70 sog. Öffnungsklauseln vor, die den Mitgliedstaaten die Möglichkeit zur eigenen Ausgestaltung vorgesehener Bereiche einräumt. Genau diese Klauseln sorgen für anhaltende Kritik an dem Entwurf des Bundesinnenministeriums.

Referentenentwurf soll Kompetenzen überschreiten

Kritiker werfen der Regierung vor ihre Kompetenzen zu überschreiten. Die Datenschutzbeauftragte des Landes Niedersachsen und Vorsitzende der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Barbara Thiel ist der Meinung, dass der Entwurf vorhandene Öffnungsklauseln unzulässig weit auslege und teilweise Regelungen schaffe, die die Öffnungsklauseln gar nicht zulassen würden. Der Berichterstatter für die DS-GVO im Europaparlament Jan Philipp Albrecht warnt, dass europäisches Recht gebrochen würde, sollte der Entwurf unverändert den Bundestag durchlaufen. Das Gesetz würde vom EuGH als rechtswidrig verworfen.

Verbände uneins

Derweil sind sich die Verbände in Deutschland uneins. Der IT-Branchenverband Bitkom wirft der Regierung vor die Öffnungsklauseln aufzublähen und die geplante Harmonisierung zu unterlaufen.

Der Verbraucherzentrale Bundesverband (VZBV) kritisiert vor allem vorgesehene Änderungen bei den privaten Krankenkassen. Der Entwurf sieht vor, dass in Zukunft Entscheidungen getroffen werden dürfen, die ausschließlich auf einer automatisierten Datenverarbeitung basieren. Generell sei der Entwurf in Teilen europarechtswidrig und falle hinter geltende Datenschutzstandards zurück.

Der IT-Branchenverband Eco wiederum lobt den Entwurf als gelungen. Er würde alle Punkte der Verordnung umsetzen.

Entwurf für ein Allgemeines Bundesdatenschutzgesetz gestoppt

Ein erster Entwurf des Bundesinnenministeriums für ein Allgemeines Bundesdatenschutzgesetz als Anwendungsgesetz zur neuen Datenschutz-Grundverordnung (DS-GVO) ist gestoppt worden. Das beteiligte Bundesjustizministerium hat damit auf massive öffentliche Kritik reagiert.

Allgemeines Bundesdatenschutzgesetz soll DS-GVO regeln

Der Entwurf sollte die Anwendung der ab dem 25.5.2018 geltenden DS-GVO regeln. In ihm enthalten ist u.a. ein geplantes Allgemeines Bundesdatenschutzgesetz (ABDSG), das das Bundesdatenschutzgesetz (BDSG) in Einklang mit der DS-GVO bringen soll. Der Blog netzpolitik.org hatte den Entwurf veröffentlicht, der noch nicht zwischen den zuständigen Bundesressorts abgestimmt ist. Infolge dessen gab es erhebliche Kritik an dessen inhaltlicher sowie handwerklicher Ausgestaltung. Das Bundesjustizministerium hat daraufhin einer Versendung zur weiteren Bearbeitung an die Länder und Verbände widersprochen. Deutliche Kritik kommt auch von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Der Entwurf wird nun von den zuständigen Ressorts vollständig überarbeitet, bevor er an die Länder und Verbände versandt werden soll.

Der Fahrplan für die DS-GVO

Nach den neuesten Fortschritten in der Verhandlung um die geplante europäische Datenschutz-Grundverordnung (DS-GVO) steht nun auch der offizielle Fahrplan. Noch in diesem Jahr soll die DS-GVO verabschiedet werden.

Bereits am 24. Juni fand das erste Treffen im Rahmen des Trilogs statt. Die dort besprochenen Themen waren u.a. die Position des Rates zur Verordnung und die Abstimmung des weiteren Fahrplans zu den Trilog-Verhandlungen.

Der Fahrplan steht

Bei seinem ersten Treffen verständigten sich die drei Institutionen auf den weiteren Fahrplan zur DS-GVO.

Zweites Treffen im Rahmen des Trilogs am 14. Juli

Die Tagesordnung sieht vor, dass im Rahmen des zweiten Treffens der Räumliche Anwendungsbereich (Artikel 3) und der internationale Datentransfer (Kapitel V) erarbeitet werden.

Weitere Termine

Kommen alle Beteiligten überein, werden folgende Punkte im Laufe dieses Jahres besprochen:

September: Datenschutzprinzipien (Kapitel III), Rechte des Betroffenen (Kapitel III) sowie der Verantwortliche und der Auftragsdatenverarbeiter (Kapitel IV).

Oktober: Datenschutzbehörden (Kapitel VI), Kooperationsmechanismen (VII) und die Fragen der Rechtsmittel, der Verantwortlichkeit der Behörden und Strafen (VIII).

November: Zielsetzungen, materieller Anwendungsbereich und Flexibilität im öffentlichen Sektor (Kapitel I) sowie besondere Vorschriften (IX).

Dezember: Delegierte Rechtsakte (Kapitel X), die Schlussbestimmungen (Kapitel XI) und letztlich noch Themen, die offen geblieben sind.

Wenn die Beteiligten es schaffen, diesen Fahrplan einzuhalten, könnte die DS-GVO Ende dieses Jahres verabschiedet werden. Tritt die DS-GVO zum 1. Januar 2016 in Kraft, wird ihr Recht jedoch erst zum 1. Januar 2018 wirksam. Solange gilt das alte Recht fort und die Unternehmen haben Zeit, ihre Prozesse anzupassen.