Was bedeutet die Datenschutzgrundverordnung für deutsche Unternehmen?

Autoren: Ste­fan Luther, Eli­sa Jan­n­asch (Alos GmbH)

Der Grund­ver­ord­nung vor­aus­ge­gan­gen ist eine rela­tiv lan­ge Geschich­te. Mit der Reform soll vor allem eine Har­mo­ni­sie­rung der ver­schie­de­nen euro­päi­schen Daten­schutz­re­ge­lun­gen in Euro­pa erreicht wer­den. Aus die­sem Grund hat man sich auch für die Rechts­form der Ver­ord­nung ent­schie­den, wel­che eine direk­te Anwen­dung in den Mit­glied­staa­ten fin­det, ohne dass es einer natio­na­len Umset­zung bedarf. Aller­dings exis­tie­ren eini­ge soge­nann­te „Öff­nungs­klau­seln“, wel­che die­sen Zweck leicht unter­gra­ben könn­ten und Rege­lungs­mög­lich­kei­ten letzt­lich doch wie­der an die ein­zel­nen Mit­glied­staa­ten zurück­ge­ge­ben. Der Ansatz eines euro­pa­weit ein­heit­li­chen Daten­schutz­rechts wur­de damit nicht kon­se­quent durchgehalten.

Doch die­se Sicht­wei­se hat sich dras­tisch gewan­delt: Schaut man ein­mal auf die Inter­net­sei­te des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­no­lo­gie (BSI) in Bonn, erkennt man, dass das BSI einen gro­ßen Neu­bau für 600 zusätz­li­che Mit­ar­bei­ter plant. Deutsch­land rüs­tet mas­siv auf, um das The­ma Daten­schutz in den Griff zu bekom­men und dort auch Lösun­gen zu fin­den, die umsetz­bar sind.

Aber wie weit sind Unter­neh­men auf die EU-DSGVO auf die Unter­neh­men bereits vor­be­rei­tet? Schaut man auf die Stu­die der Bit­kom von Ende 2017, erhält man den Ein­druck: Unter­neh­men haben hier noch Nachholbedarf.

Vor allem das Recht, Infor­ma­tio­nen leich­ter wie­der löschen zu las­sen (»Recht auf Ver­ges­sen­wer­den«) sowie das Recht, Daten von einem Anbie­ter zum nächs­ten mit­zu­neh­men (»Daten­por­ta­bi­li­tät«) wer­den die Kun­den stär­ken. Par­al­lel hier­zu wur­den die Ver­pflich­tun­gen der Unter­neh­men ver­schärft. So tref­fen den „für die Ver­ar­bei­tung Ver­ant­wort­li­chen“ diver­se Infor­ma­ti­ons­pflich­ten gegen­über den Betrof­fe­nen, wie zum Bei­spiel Mit­tei­lung der Ver­ar­bei­tungs­zwe­cke, die Spei­cher­dau­er, die Mög­lich­keit der Wahr­neh­mung sei­ner Rech­te nach den Art. 15 bis 19 EU-DSGVO, ins­be­son­de­re die Mög­lich­keit, der Ver­ar­bei­tung zu wider­spre­chen oder eine erteil­te Ein­wil­li­gung zu wider­ru­fen sowie die Mög­lich­keit sich bei einer Auf­sichts­be­hör­de zu beschweren.

Eines muss uns klar sein: Die Poli­tik schafft kei­ne Lösun­gen, aber sie bestimmt die Rah­men­be­din­gun­gen. Die EU-Daten­schutz-Grund­ver­ord­nung ist mit 99 Arti­keln und 173 Erwä­gungs­grün­den deut­lich umfang­rei­cher als z. B. das deut­sche Bun­des­da­ten­schutz­ge­setz. Mit der Län­ge steigt in die­sem Fall auch die Komplexität.

Eine klei­ne Anek­do­te am Ran­de: Es gab einen lan­gen Dis­put, ab wel­chem Alter der Daten­schutz eigent­lich gel­ten soll. Die­se Fra­ge ist gera­de auch im B2C-Busi­ness äußerst rele­vant, vor allem, wenn man den Bereich „Social Media“ betritt. Hier haben die Platt­for­men nun die Vor­ga­be, bis zum Alter von 16 Jah­ren auch die Ein­wil­li­gung der Eltern für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten und die Nut­zung der ent­spre­chen­den Platt­form ein­zu­ho­len. In Ame­ri­ka wur­de die­se Alters­gren­ze mit 13 Jah­ren defi­niert – hier sieht man also regio­na­le Unter­schie­de. Für Geschäfts­ab­schlüs­se gilt in Deutsch­land natür­lich wei­ter­hin das Min­dest­al­ter von 18 Jah­ren. Wer­den Geschäf­te mit Nicht-Voll­jäh­ri­gen getä­tigt, muss immer die Zustim­mung der Eltern mit vor­lie­gen. Dies kann auch an ande­rer Stel­le von Bedeu­tung sein: Wenn Sie z.B. recht jun­ge Aus­zu­bil­den­de in Ihrem Unter­neh­men haben.

Die EU-DSGVO umfasst eine gan­ze Men­ge Vor­ga­ben, aber das wich­tigs­te sind natür­lich die Grund­rech­te und der Schutz der natür­li­chen Per­son, ins­be­son­de­re natür­lich auch der Schutz der per­so­nen­be­zo­ge­nen Daten und die ein­her­ge­hen­de Komplexität.