Viele Unternehmen in der EU blicken teilweise mit Sorge auf den 25. Mai 2018, den Stichtag, an dem die von der Europäischen Union zwei Jahre zuvor in Kraft gesetzte Verordnung zum Datenschutz umgesetzt sein muss. Damit werden die bislang gültigen nationalen Gesetze abgelöst. Davon sind weltweit alle Organisationen1 betroffen, die in der EU Geschäfte tätigen und deswegen über personenbezogene Daten von EU-Bürgern verfügen. Eine in 2017 erhobene Studie von Veritas Technologies2 bringt zum Ausdruck, dass fast die Hälfte der 900 befragten Unternehmen und Organisationen befürchten, die Vorgaben der Verordnung nicht einzuhalten. Ähnliche Bedenken hört man auch aus den Kreisen unserer Genossenschaften. Die größte Sorge dabei sind die Folgen der hohen, auf Abschreckung zielenden Bußgelder in Millionenhöhe. Aber auch die Angst vor Image- und Vermögensschäden aufgrund negativer Berichte in den Medien, potenziellen Klagen von Anteilseignern oder Marktanteilsverlusten, da der Datenschutz immer mehr zum Wettbewerbsfaktor wird, bereitet den befragten Unternehmen Kopfzerbrechen.
So ernst die Umsetzungsrisiken auch sein mögen, so sind die geäußerten Sorgen auch ein bisschen verwunderlich, da zumindest das aktuell für Deutschland noch geltende Bundesdatenschutzgesetz (BDSG) viele dieser neu anmutenden Regelungen der DSGVO bereits kennt oder in ähnlicher Form regelt. In Datenschutzkreisen erklärt man sich diesen Umstand dadurch, dass viele Unternehmen noch Umsetzungsdefizite in Bezug auf das alte BDSG hätten. Umso wichtiger wird es für solche Unternehmen sein, diese Defizite in Verbindung mit den anstehenden Neuerungen bis zum Mai 2018 zu beheben.
Gilt für alle: Datenschutz ist Pflicht
Um einem oft geäußerten Irrtum entgegenzutreten: Genossenschaften, die vom Gesetz nicht verpflichtet werden, einen Datenschutzbeauftragten zu bestellen, sind selbstverständlich ebenso dem Datenschutz verpflichtet. Es geht einzig darum, ob das Unternehmen personenbezogene Daten von Kunden, Mitgliedern oder Mitarbeitern ganz oder teilweise automatisiert verarbeitet. Es wird schwer sein, heutzutage Personen in einem Unternehmen zu finden, die nicht mit Datenverarbeitung Datenverarbeitung in Verbindung zu bringen sind, denn bereits die Ablage einer E-Mail eines Kunden in einen Outlook-Ordner ist Datenverarbeitung. Die Einhaltung des Datenschutzes durch entsprechende Kontrollen sowie die weiteren Aufgaben eines Datenschutzbeauftragten liegen für Genossenschaften ohne Datenschutzbeauftragten dann alleine in der Verantwortung der Geschäftsführung. Eine der wichtigsten Neuerungen der DSGVO geht aus Art. 5 der Grundverordnung hervor, in dem die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt werden. Dort ist im Abs. 2 geregelt, dass der Verantwortliche3 für die Einhaltung der Grundsätze aus Abs. 1 verantwortlich ist und dass er deren Einhaltung nachweisen muss. Um dieser Rechenschaftspflicht nachkommen zu können, sind umfangreiche Dokumentationen und Audits durch die Unternehmen erforderlich.
Verhaltenskodex für Schutz der Daten
Unternehmen sind gut beraten, das Thema Datenschutz in ihren Häusern ganz oben aufzuhängen und durch einen datenschutzrechtlichen Verhaltens-Kodex zu untermauern. In einem solchen zentralen Dokument sollten die datenschutzrechtlichen Ziele, die Selbstverpflichtungen des Unternehmens hinsichtlich dieser Ziele und der strategische Rahmen beschrieben werden4. Ferner wird ein Datenschutz-Handbuch mit Datenschutz-relevanten Arbeitsanweisungen dazu beitragen, die Geschäftsprozesse auf eine Achtung der grundliegenden Persönlichkeitsrechte von Kunden und Mitarbeitern hin auszurichten. Damit zeigt das Unternehmen, dass es Datenschutz ernst nimmt und es sich bei personenbezogenen Verfahren nachweisbar an Gesetze und transparente Regeln hält.
Prozesse sind zu implementieren
Die DSGVO stärkt in hohem Maße die Auskunftsrechte der Betroffenen5 und erlegt den Verantwortlichen zusätzliche Informationspflichten auf. Außerdem können Betroffene die Korrektur und Löschung ihrer personenbezogenen Daten verlangen. Das Unternehmen muss innerhalb einer vorgegebenen Frist ihren Informationspflichten nachkommen beziehungsweise die Auskunftsoder Korrekturanfrage beantworten. Das setzt voraus, dass die Unternehmen entsprechende Technologien einsetzen und die organisatorischen Prozesse im Unternehmen dafür implementiert haben. Fast ein Drittel der Befragten der oben aufgeführten Studie sieht bei der Einrichtung dieser und anderer Umsetzungsprozesse ein zumindest ernstes Problem.
Die DSGVO wertet mit neuen Aufgaben die Stellung des Datenschutzbeauftragten auf und nimmt ihn gleichzeitig mehr in die Verantwortung. War es bisher mitunter seine Aufgabe, auf die Einhaltung der datenschutzrechtlichen Regelungen im Unternehmen hinzuwirken, so hat der Datenschutzbeauftragte nun die Einhaltung der DSGVO und anderer Datenschutzvorschriften6 wie zum Beispiel das Telemediengesetz zu überwachen. Der Datenschutzbeauftragte muss demnach aktiv tätig werden und ist frühzeitig in alle Datenschutzfragen einzubinden. Dadurch kann nach Meinung der Rechtsprechung auch eine erweiterte strafrechtliche Haftung des Datenschutzbeauftragten abgeleitet werden7.
Datenschutz outsourcen
Viele Verantwortliche fragen sich daher zu Recht, ob das noch ein Mitarbeiter des Unternehmens machen kann oder will und ob es nicht besser sei, einen externen Datenschutzbeauftragten zu bestellen. In der Tat gibt es gute Argumente für ein solches Outsourcing. Bei einem geeigneten Dienstleister sind Fachkunde und Zuverlässigkeit gesichert und das Unternehmen profitiert von der Erfahrung des Datenschutzbeauftragten aus einer Vielzahl von Mandaten mit häufig ähnlichen Herausforderungen und Fragestellungen. Der externe Datenschutzbeauftragte kann anhand des tatsächlich anfallenden Aufwands vergütet werden. Das vermeidet hohe Fixkosten und die Bindung von Arbeitszeit. Die Verlagerung der Haftung auf den externen Datenschutzbeauftragten verringert überdies das Unternehmensrisiko. Um alle Herausforderungen zu bewältigen, suchen Unternehmen zunehmend Hilfe von außen. Fast zwei Drittel der befragten Unternehmen äußerten sich in der Veritas-Studie dahingehend, dass ihr Unternehmen plant, mit Dritten zu arbeiten, um die DSGVO zu erfüllen.
Angebot der Kurzberatung
So bietet der BWGV den Waren- und Dienstleistungsgenossenschaften eine Kurzberatung an, um gemeinsam herauszuarbeiten, was in der noch verbleibenden Zeit bis Mai 2018 in der zu beratenden Genossenschaft erstellt, ermittelt, geregelt, gemeldet und verändert werden muss8. Sowohl für den Waren- und Dienstleistungsbereich als auch für die Volksbanken und Raiffeisenbanken verfügt der Verband über TÜV-zertifizierte Mitarbeiter, die die Fachkenntnisse im Datenschutzrecht besitzen und in der Lage sind, diese praxisorientiert bei den Datenschutz-Mandanten als externer Datenschutzbeauftragter umzusetzen.
Gehen Sie proaktiv mit dem Thema um und sehen Sie die Chance für Ihre Genossenschaft, sich den Herausforderungen an einen digitalen Binnenmarkt zu stellen. Wer die ihm anvertrauten personenbezogenen Daten gewissenhaft pflegt, ordnungsgemäß verarbeitet und dabei die Persönlichkeitsrechte der betroffenen Personen besser schützt, der hat gute Voraussetzungen, in der globalisierten und digitalisierten Lebens- und Marktrealität, die uns alle bereits heute umgibt, erfolgreich zu sein.
1 Organisationen: Öffentliche Verwaltung, private Unternehmen unabhängig von ihrer Rechtsform, IT-Infrastruktur-Provider, Praxen, Institute, Gemeinschaften, Wissenschaftsorganisationen, Arbeitgeber, Schule, Krankenhaus, Kirche, Militär, Verein etc.
2 Veritas Technologie „2017 Veritas GDPR Report, Kapitel 1: DSGVO voraus – Unternehmen fürchten, Reputation, Stellen oder sogar die Existenzgrundlage einzubüßen“
3 Art. 4 Abs. 7 EU-DSGVO
4 Erwägungsgrund 78 der EU-DSGVO, S.2
5 Art. 4 Abs. 1 EU-DSGVO
6 Neben der DSGVO und dem BDSG ist der Datenschutz in insgesamt 159 Gesetzen wie das Telemediengesetz, das Telekommunikationsgesetz, das Gesetz gegen den unlauteren Wettbewerb oder die Abgabenordnung geregelt. Davon sind mit Stand September 2017 erst 54 Gesetze an die DSGVO angepasst worden. Siehe BT-Drucksache 18/13581 S.16 ff
7 Tim Wybitul: EU-Datenschutz-Grundverordnung im Unternehmen, TZ 155
8 BWGV-Mitgliederportal: Mitglieder-Information 2017/GW-007: Neue Datenschutz Grundverordnung: „Die Uhr tickt – wo unsere Genossenschaften handeln müssen“
