Millionenrisiken für Manager, Datenschützer und Unternehmen riskieren ihre Karriere und ihr Privatvermögen, wenn sie den Datenschutz nicht ernst nehmen. Gastbeitrag von Tim Wybitul von Hogan Lovells.
Tim Wybitul,
Neues EU-Datenschutzrecht: Bußgelder bis zu vier Prozent des weltweiten Umsatzes
Bislang war Datenschutz in den Vorstandsetagen eher selten ein Thema. Das ändert sich nun gründlich. Voraussichtlich im Juni 2016 verabschiedet das EU-Parlament die EU-Datenschutz-Grundverordnung. Die Verordnung soll Datenverarbeitungen künftig in der gesamten Union einheitlich regeln und den bisherigen Flickenteppich nationaler Gesetze zum Umgang mit personenbezogenen Daten ablösen. Brüssel macht nun Ernst mit dem Datenschutz – auch bei den Sanktionen. Die sollen nämlich „wirksam und abschreckend“ sein, heißt es in der Verordnung.
Fehler beim Datenschutz werden teuer: Bußgelder bis zwei Prozent vom Umsatz bei leichten Fehlern
Wenn sich Unternehmen nicht an die strengen neuen Vorgaben halten, drohen Geldbußen von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres. Selbst bei weniger schweren Fehlern drohen Bußgelder von bis zu zwei Prozent des Umsatzes. Bei Unternehmensgruppen werden die Aufsichtsbehörden Geldbußen dabei wohl auf der Basis des Konzernumsatzes berechnen. Da kommen schnell mal dreistellige Millionenbeträge zusammen.
Wen der neue EU-Datenschutz betrifft
Auch Manager, Datenschutzbeauftragte, IT-Chefs und andere für den Datenschutz im Unternehmen verantwortliche Mitarbeiter müssen aufpassen. Hält sich eine Führungskraft nicht an die neuen Regeln, drohen Bußgelder von bis zu 20 Millionen Euro. Dazu kommt die persönliche persönliche Haftung, wenn das Unternehmen wegen eigenen Fehlern Geldbußen oder Schadensersatzforderungen bezahlen muss. Durch die drastisch gestiegenen Risiken können Nachlässigkeiten künftig sehr schnell den Arbeitsplatz kosten.
Was ändert sich mit dem neuen Recht
Der neue EU-Datenschutz wird deutlich strenger als das bisherige deutsche Recht. Brüssel schraubt die Anforderungen an Unternehmen an vielen Stellen deutlich hoch:
• Weltweite Geltung: Die Verordnung soll nicht nur in der gesamten Union gelten. Auch Unternehmen im Ausland müssen den europäischen Datenschutz anwenden, wenn sie Daten von Personen in der EU verarbeiten, um diesen Personen Waren oder Dienstleistungen anzubieten oder das Verhalten von Personen in der Union beobachten.
• Persönliche Haftung von Datenschützern und Managern: Bislang mussten deutsche Datenschutzbeauftragte lediglich auf das Einhalten der Vorschriften „hinwirken“. Nach dem neuen Recht müssen sie jedoch überwachen, dass alle Regeln auch tatsächlich eingehalten werden. Aber auch Vorstände oder Geschäftsführer sind nicht besser dran. Sie haben schon nach dem bisherigen Recht weitreichende Kontrollpflichten.
• Training, Nachweispflichten und Rechenschaft: Unternehmen müssen wirksame Datenschutz-Richtlinien einführen und ihre Mitarbeiter im neuen Recht schulen. Auch bei der Dokumentation kommt im Datenschutz viel Arbeit auf die Wirtschaft zu. Es reicht nicht, sich nur an die neuen Vorschriften zu halten – ich muss das auch beweisen können. Diese unscheinbare Veränderung kann in der Praxis sehr teuer werden. Denn den geforderten Beweis, dass man alles richtig gemacht hat, muss man in Prozessen über Bußgelder oder Schadensersatz für Unternehmen erst einmal erbringen. Das setzt ein effektives Datenschutz Management System voraus – inklusive Risikoanalysen, Trainings, Strukturen, Prozesse, Kontrollen und ein schnelles Change Management beim Datenschutz.
• Information und Unterrichtung: Unternehmen müssen Personen künftig viel umfassender und früher unterrichten, wenn sie deren Daten verarbeiten. Auch hier drohen bei Fehlern hohe Bußgelder.
• Recht auf Vergessenwerden: Sobald ich personenbezogene Daten nicht mehr benötige, muss ich sie löschen. Wenn ich Daten veröffentlich habe, muss ich die Empfänger, an die ich die Daten weitergegeben habe, darüber informieren, wenn ein Betroffener die Löschung von Links oder Kopien dieser Daten verlangt.
• Recht auf Kopie und „Datenportabilität“: Ein Betroffener kann von Unternehmen, die seine Daten speichern, verlangen, dass sie ihm eine Kopie sämtlicher gespeicherter Daten geben. Das wird teuer und aufwändig für die Wirtschaft.
• Koppelungsverbot bei Einwilligungen: Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass der Betroffene in die Verarbeitung seiner Daten einwilligt. Das Geschäftsmodell „Dienste gegen Daten“ dürfte über diese Veränderung nicht glücklich sein.
• Datenschutz-Folgenabschätzungen : Wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
• Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Firmen müssen ihre IT-Systeme so gestalten, dass diese den Anforderungen der Verordnungen entsprechen, als beispielsweise von vornherein nur so wenige Daten sammeln und verarbeiten, wie es zur Erreichung des konkret verfolgten Zwecks nötig ist. Wo dies möglich ist, sollen Daten pseudonymisert werden. Wenn ein Unternehmen nicht die vorgeschriebene Datensicherheit sicherstellt – beispielsweise zur Abwehr von Hackerangriffen -, kann das sehr teuer werden. Hier drohen bei Mängeln Bußgelder von bis zu zwei Prozent des Umsatzes.
• Datenschutz am Arbeitsplatz: Viele der neuen Regeln hatten die IT-Wirtschaft im Blick und passen daher schlecht zum Datenschutz am Arbeitsplatz. Allerdings kann man in Betriebsvereinbarungen alternative Vorgaben zur Verarbeitung von Arbeitnehmerdaten vereinbaren. Das geht aber nur zusammen mit dem Betriebsrat. Daher verhandeln die ersten Unternehmen jetzt schon mit ihren Arbeitnehmervertretern.
Checkliste für Top-Manager:
Unternehmen sollten einen Fahrplan erstellen, wie sie die neuen Anforderungen bis 2018 erfüllen. Einige Arbeitsschritte liegen dabei schon jetzt auf der Hand:
• Gefährdungsanalyse: Welche Risiken drohen dem eigenen Geschäftsmodell, wie hoch sind die Umsätze des Unternehmens, welche Bußgeldrisiken oder sonstigen Nachteile drohen?
• Lücken-Analyse: Wo steht das Unternehmen jetzt, welche Schritte sind nötig, um künftig die Anforderungen des neuen EU-Datenschutzrechts zu entsprechen?
• Ressourcenplanung: Welche Mittel brauche ich für die Umstellung auf das neue Recht, welche Ressourcen sind verfügbar, wo fehlt etwas?
• Budgetplanung: Datenschutz kostet bekanntlich Geld. Bei den Budgetverhandlungen wird auch die Haftung des Unternehmens, aber auch der Entscheidungsträger keine kleine Rolle spielen.
• Projektplanung: Gerade für große Unternehmen oder gar Konzerne kann die Transformation auf das neue EU-Recht ein Mammutprojekt sein. Dementsprechend sollte auch die Projektplanung von Anfang an professionell und flexibel sein. Allein die Liste der beteiligten Unternehmensfunktionen ist deutlich länger als bei vielen anderen Großprojekten.
Sehr geehrte Damen und Herren,
betrifft dies auch die landing-Pages? D.h. wenn jemand seine email-Adresse einträgt, bekommt er ein gratis-produkt. diese email adressen werden dann von vielen unternehmen, die hinter Landing Pages stecken als Kontakte gespeichert.
Vielen Dank für Ihre Antwort.
Mit freundlichen Grüßen
Ulrike Hagel
Naja, dafür müsste man bei Landing-Pages zunächst einmal annehmen, dass die Einwilligung dem Koppelungsverbot nicht unterliegt. Und ich kann mir sehr gut vorstellen, dass etwa deutsche Aufsichtsbehörden hier (also bei der Auslegung von Art. 7 Abs. 4 des Entwurfs) einen restriktiven Standpunkt vertreten. Vor allem muss die betroffene Person ja aber recht genau wissen, in was sie eigentlich einwilligt (vgl. Art. 7 Abs. 2 des Entwurfs und Erwägungsgrund 32).