EU-DSGVO fordert von Unternehmen umfangreiche Anpassungsarbeit

Bei Nichtbeachtung der Neuerungen drohen empfindliche Strafen: Anders als in der seit 1995 geltenden EU-Datenschutzrichtlinie errechnen sich nach neuer Gesetzeslage die Höchstsummen für Bußgelder nicht mehr ausschließlich nach starren Werten, sondern zusätzlich in Abhängigkeit vom Jahresumsatz. Künftig werden bei schwerwiegenden Verstößen bis zu 4 Prozent des Jahresumsatzes als Strafe fällig, was gerade bei Großunternehmen und Konzernen zu enormen Summen führen kann.

Nutzerrechte werden gestärkt
Ein grundsätzliches Ziel der neuen Grundverordnung ist neben der EU-weiten Nivellierung des Datenschutzes die Stärkung von Nutzerrechten. Unternehmen, die mit personenbezogenen Daten arbeiten, müssen zukünftig mehr Aufwand betreiben, um den veränderten Anforderungen gerecht zu werden. Aufwand entsteht z.B. dadurch, dass ab Mai 2018 die Verarbeitung personenbezogener Daten – mit Ausnahmen – nur dann rechtmäßig ist, wenn vorab eine Einwilligung eingeholt wurde. Zusätzliche Arbeit dürfte auch dadurch entstehen, dass Nutzer nach Inkrafttreten der neuen Verordnung jederzeit Anspruch auf Auskunft darüber haben, welche Daten ein Unternehmen über sie gespeichert hat. Die Informationen müssen ohne Verzögerung und „in präzisier, transparenter, verständlicher sowie leicht zugänglicher Form“ (Art.12 – EU-DSGVO) an den Nutzer übermittelt werden. Darüber hinaus sind Unternehmen zukünftig verpflichtet, Nutzerdaten, die veröffentlicht wurden, auf Verlangen unverzüglich zu löschen. Mehrarbeit für viele Firmen wird auch die Datenschutz-Folgenabschätzung verursachen. Die Folgenabschätzung ist vergleichbar mit der aus dem Deutschen Datenschutzrecht bekannten Vorabkontrolle (§ 4d Abs. 5 BDSG), die dann durchzuführen ist, wenn besonders sensible Daten verarbeitet werden. Im Gegensatz zur Vorabkontrolle ist der Anwendungsbereich, der eine Folgenabschätzung notwendig macht, vergrößert worden. Auch hier ist ein höherer Aufwand für Datenschutz die Folge. Dies sind nur einige – grob zusammengefasste – Herausforderungen, der sich Unternehmen stellen müssen.

Keine Zeit verlieren
Die notwendigen Prozessänderungen können von Unternehmen nicht ad hoc umgesetzt werden. Die Übergangsfrist von zwei Jahren erscheint angemessen, könnte jedoch gerade bei Konzernen und Großunternehmen für Schwierigkeiten sorgen. „Aus unserer täglichen Arbeit wissen wir, dass ein Global Player, der seine Datenschutz-Prozesse mit Word und Excel organisiert, keine Seltenheit ist“, erläutert Dr. Christoph Niemann, Vorstand der otris software AG, den Stand der Technik bei vielen Unternehmen. „Ohne Spezialsoftware die neue EU-Datenschutz-Grundverordnung umzusetzen, wird vielen Firmen Schwierigkeiten bereiten“, ist sich Dr. Christoph Niemann sicher, „denn zur Prozessumstellung gehört auch, dass Dokumentationsarbeiten teilweise verändert oder ausgeweitet werden müssen.“ Zusätzlich soll ein „dem Risiko angemessenes Schutzniveau“ (Art.32 – DSGVO) dadurch gewährleistet werden, dass „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (ebd.) im Unternehmen etabliert wird. Nicht auf alle aber auf viele Unternehmen werden Anpassungsarbeiten in größerem Umfang zukommen.

Anpassungsarbeit – auch für Softwarehersteller
Die EU-Datenschutz-Grundverordnung stellt nicht nur neue Anforderungen an Unternehmen, die mit personenbezogenen Daten arbeiten, sondern ebenso an Softwarehersteller, die Datenschutzmanagement-Lösungen anbieten. „Unsere Software otris privacy bietet schon jetzt über 80% der Funktionalität, die durch die neue Verordnung notwendig wird“, betont Dr. Christoph Niemann. „Ende dieses Jahres veröffentlichen wir die Version 6.1, in die weitere Anpassungen an die neue Verordnung integriert werden.“ In jedem Fall ist es sinnvoll, frühzeitig mit der firmeninternen Prozessumstellungen zu starten – insbesondere wenn Spezialsoftware zum Einsatz kommen soll. Eine Vorlaufzeit gibt Sicherheit, dass zum Stichtag sämtliche Prozesse eingespielt ablaufen. Dass alle otris privacy-Kunden von Weiterentwicklungen der Software profitieren, ist selbstverständlich: „otris privacy ist – auch nach Customizing-Maßnahmen – releasefähig. Das heißt, dass Firmen, die heute die Software einsetzen, durch Updates auch in Zukunft stets auf dem aktuellen Stand sind. Von den Anpassungen, die wir im Zuge der EU-Datenschutz-Grundverordnung vornehmen, werden somit nicht nur Neu- sondern ebenso Bestandskunden profitieren. Wir sind uns sicher, dass wir unseren Kunden lange vor der Deadline im Mai 2018 eine Datenschutzlösung zur Verfügung stellen, die den neuen Anforderungen im vollen Umfang entspricht“, so Dr. Christoph Niemann.