Jeder Betrieb verarbeitet Daten. Was versteht die neue EU-Datenschutzgrundverordnung unter personenbezogenen Daten?
Keller: Gemeint sind alle Informationen, die eine natürliche Person identifizierbar machen. Dazu gehören Name, Geburtsdatum, Adresse und Telefonnummer beispielsweise von Kunden, Lieferanten, Mitarbeitern oder auch Bewerbern. Bei Ärzten sind es insbesondere die Krankenakten ihrer Patienten. Es gibt wohl kein Unternehmen, das keine personenbezogenen Daten verarbeitet.
Was genau müssen die Betriebe künftig beim Umgang mit Daten tun?
Keller: Sie müssen nachweisen, dass sie die datenschutzrechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten einhalten; also woher die Daten kommen, wie sie diese speichern, ändern, weiterleiten und löschen. Dazu gehören auch die Informationspflichten im Umgang mit Datenlecks. Die Datenschutzgrundverordnung verlangt zudem, dass Betriebe die Einhaltung der Regelungen regelmäßig überprüfen und das auch dokumentieren. Jeder Betrieb muss jederzeit umfassend Rechenschaft darüber ablegen können, dass er alle Pflichten der Datenschutzgrundverordnung einhält.
Gibt es eine Größenordnung von Datensätzen, ab der es umfangreichere Dokumentationspflichten gibt?
Keller: Die neuen Datenschutzregelungen verfolgen einen risikobasierten Ansatz: Je sensibler die Daten sind, die verarbeitet werden, desto höher sind die Anforderungen an den Schutz und die Dokumentation. Bei Gesundheitsdaten zum Beispiel sind diese Anforderungen deutlich höher, als wenn man nur Namen und E-Mail-Adresse verarbeitet.
Wann braucht man einen Datenschutzbeauftragten?
Keller: Wenn sich mindestens zehn Personen mit automatisierter Datenverarbeitung in einem Unternehmen beschäftigen. Dabei reicht es schon aus, wenn die Mitarbeiter Zugriff auf einen eigenen E-Mail-Account haben. Arztpraxen, in denen mehr als ein Arzt tätig ist, – also alle Berufsausübungsgemeinschaften, medizinische Versorgungszentren oder auch jede Praxis mit einem angestellten Arzt – brauchen künftig zwingend einen Datenschutzbeauftragten. Der Datenschutzbeauftragte muss sich in EDV, IT und IT-Sicherheit auskennen und braucht Kenntnisse im Datenschutz-, Sozial-, Verwaltungs-, Vertrags- sowie im Wettbewerbsrecht.
Ein derart umfangreiches Know-how wird nicht jedes betroffene Unternehmen intern haben, oder? Kann ich jemanden mit der Dokumentationspflicht beauftragen oder einen externen Datenschutzbeauftragten bestellen? Was konkret sind dessen Aufgaben?
Keller: Ja, die Datenschutzgrundverordnung lässt das zu. Ich selbst bin als Anwalt seit vielen Jahren von meinen Mandanten als externer Datenschutzbeauftragter bestellt. Es gibt aber auch Anbieter dafür, die eher aus der EDV oder IT stammen. Als Datenschutzbeauftragter unterstütze ich die Unternehmen, berate und überprüfe, ob die Vorgaben des Datenschutzes eingehalten werden. Ich gebe Empfehlungen zur Struktur und zum Inhalt der erforderlichen Dokumentation ab. Ob extern oder intern: Der Datenschutzbeauftragte ist letztlich Ansprechpartner für alle Fragen des Datenschutzes – sei es aus dem Unternehmen oder von Seiten der Aufsichtsbehörde.
Für welche Betriebe gilt das? Wer ist ‚aus dem Schneider‘?
Keller: Die Vorgaben der Datenschutzgrundverordnung gelten für alle. Und – wir haben bislang immer von Unternehmen gesprochen, was nicht ganz korrekt ist: Die Datenschutzgrundverordnung richtet sich an den ‚Verantwortlichen‘ .Es kann sich dabei also auch um Behörden, Verbände, Vereine und Stiftungen handeln. Der Umfang des jeweils erforderlichen Dokumentations- und Datenschutz-Management-Systems mag unterschiedlich sein, aber ‚aus dem Schneider‘ ist niemand.
Was konkret droht Betrieben, die sich nicht rechtzeitig um das Thema kümmern?
Keller: Auf den ersten Blick fallen hier die massiv erhöhten Bußgelder auf. Aktuell belaufen sich die Bußgelder auf bis zu 300.000 Euro für schwere Verstöße. Das neue Datenschutzrecht sieht jedoch Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes für schwere Verstöße gegen Datenschutzbestimmungen vor. Bei leichten Verstößen die Hälfte. Daneben aber erwarten wir auch Abmahnungen, insbesondere was die deutlich umfangreicheren Informationspflichten angeht. Schon jetzt sehen wir im Markt einen Trend zu Zertifizierung und Auditierung. Viele Unternehmen werden derzeit von ihren Geschäftspartnern gefragt, wie sie mit übermittelten und gemeinsam genutzten Daten umgehen. Hier wird sehr schnell ein gewisser Druck entstehen, die steigenden Erwartungen der Kunden und Geschäftspartner in Bezug auf Datenschutz und -sicherheit zu erfüllen.
ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com
ECOVIS AG Steuerberatungsgesellschaft*
Telefon: +49 (89) 5898-266
E-Mail: gudrun.bergdolt@ecovis.com