Dem Datenschutz hat der europäische Gesetzgeber mit der neuen Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 anzuwenden ist, Priorität eingeräumt. Eine Umsetzung in nationales Recht ist nicht erforderlich, und so gibt es auch keine Übergangsfristen: Unternehmen haben exakt bis zum 25. Mai Zeit, ihren Umgang mit personenbezogenen Daten an die DSGVO anzupassen. Das alte Bundesdatenschutzgesetzt (BDSG) wird durch ein neues ersetzt. Dieses regelt allerdings nur ergänzend zur DSGVO einige Bereiche, die der europäische Gesetzgeber explizit den nationalen Parlamenten überlassen hat. Dazu gehört beispielsweise der Beschäftigtendatenschutz.
Manche bekannte Regelungen bleiben in der DSGVO erhalten. So umfasst der Begriff der „personenbezogenen Daten“ weiterhin alle Daten, die sich auf eine natürliche Person beziehen. Dabei reicht es aus, wenn diese Person anhand der erhobenen Daten identifizierbar ist, beispielsweise ihre IP-Adresse vorliegt oder pseudonymisierte Daten aus klinischen Prüfungen. Erheben, speichern, verwenden, übertragen oder bereitstellen dürfen Unternehmen personenbezogene Daten weiterhin ausschließlich in den Fällen, die durch die DSGVO oder ein anderes Gesetz ausdrücklich erlaubt sind. Es gilt das „Verbot mit Erlaubnisvorbehalt“. Die DSGVO selbst regelt in Art. 6 die folgenden Erlaubnistatbestände:
- Der Betroffene muss nach umfänglicher Aufklärung eingewilligt haben.
- Ein zustande gekommener Vertrag muss erfüllt werden.
- Es gilt, mit der Datenbearbeitung rechtliche Verpflichtungen zu erfüllen.
- Es besteht ein öffentliches Interesse an der Verarbeitung der Daten.
- Die Daten werden gebaucht, um lebenswichtige Interessen zu schützen.
- Wenn berechtigte Interessen des Datenverantwortlichen gelten gemacht werden, müssen diese mit den Rechten des Betroffenen abgewogen werden – so dass es sich hier letztlich um einen Auffangtatbestand handelt.
Opt-out-Einwilligungen
sind nicht mehr zulässig
Eine wesentliche Änderung ist, dass zukünftig so genannte „opt-out“-Einwilligungen nicht mehr zulässig sind. Bei diesem Vorgehen ist die Zustimmung voreingestellt und der Anwender muss aktiv werden, wenn er nicht möchte, dass seine Daten weiterverarbeitet werden. Künftig muss der Anwender aktiv der Verarbeitung zustimmen. Darüber hinaus dürfen Daten nur zu Zwecken verwendet werden, für die eine Einwilligung vorliegt.
Noch stärker eingeschränkt sind die Nutzungsmöglichkeiten für besonders schutzwürdige Daten. Darunter fallen zum Beispiel die politische Meinung und die Herkunft, aber auch gesundheitsbezogene sowie genetische und biometrische Daten, anhand derer eine Person identifiziert werden kann. Für diese gelten eingeschränkte Rechtfertigungsgründe, die separat in Art. 9 DSGVO geregelt sind.
Medizintechnikunternehmen geben personenbezogene Daten häufig an einen so genannten „Auftragsdatenverarbeiter“ – etwa ein Abrechnungsunternehmen – weiter. Hierfür muss kein Rechtfertigungsgrund vorliegen, wenn die Datenverarbeitung vollständig weisungsgebunden für das verantwortliche Unternehmen erfolgt und ein Auftragsverarbeitungsvertrag vorliegt. Dieser muss den in Art. 28 DSGVO dargestellten Mindestanforderungen genügen.
Zugriff von außerhalb der EU
In weltweit aktiven Unternehmen kann das globale CRM-System personenbezogene Daten aus der EU enthalten, auf die auch Konzerngesellschaften zugreifen sollen, die selbst außerhalb der EU oder des Europäischen Wirtschaftsraumes tätig sind. Auch hier gelten die bisherigen Regelungen: Hat die EU das Drittland nicht als sicher anerkannt, ist eine Datenübertragung nur möglich, wenn Standardvertragsklauseln der EU genutzt werden oder die betroffene Person zugestimmt hat, dass ihre Daten auch in Drittländer übertragen werden dürfen.
Unternehmen brauchen Prozesse, um Anfragen zu bearbeiten
Darüber hinaus erhalten die Betroffenen mit der DSGVO erweiterte Informations- und Auskunftsrechte, Berichtigungs- und Löschungsrechte sowie Beschwerderechte. Für Unternehmen heißt das, dass sie interne Prozesse implementieren müssen, nach denen Anfragen von Betroffenen abgearbeitet werden können.
Für den täglichen Umgang mit personenbezogenen Daten werden Unternehmen Rechenschaft und Dokumentation stärker in die Pflicht genommen. Sie müssen ein Verfahrensverzeichnis anlegen und eine Datenschutzfolgenabschätzung durchführen. Ausreichende technische und organisatorische Maßnahmen (kurz „TOM“) zum Schutz der Daten müssen implementiert und dokumentiert sein. Hier besteht bei allen Unternehmen wohl der größte Umsetzungsbedarf.
DSGVO und Compliance sind Chefsache
Der Datenschutz wird im Hinblick auf das Risk Assessment in der Compliance-Organisation der Unternehmen künftig eine bedeutsamere Rolle spielen als bisher. Entsprechend sollte sich, wie im Antikorruptionsrecht auch, die Geschäftsführung des Themas annehmen und organisatorische Strukturen schaffen, die das Einhalten der DSGVO ermöglichen.
Mit der DSGVO ändern sich im Übrigen auch die Bußgeldvorschriften. Es drohen Bußgelder von bis zu 20 Mio. Euro oder 4 % des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist). Daher ist eine zeitnahe und intensive Beschäftigung mit den neuen Anforderungen unausweichlich.
Fahrplan vor Inkrafttreten der DSGVO
Die DSGVO gilt für Unternehmen innerhalb der EU. Unternehmen außerhalb der EU sind betroffen, wenn ihre Datenverarbeitung dazu dient, Personen in der EU Waren oder Dienstleistungen anzubieten oder deren Verhalten in der EU zu beobachten. Daten juristischer Personen sind durch die DSGVO nicht geschützt.
Folgende Punkte sollten Unternehmen bis zum Geltungsbeginn der DSGVO im Mai 2018 erledigt haben:
- Informieren Sie sich über die DSGVO.
- Prüfen Sie im Rahmen eines Audits die implementierten Prozesse, die in Ihrem Unternehmen verarbeiteten personenbezogenen Daten ( CRM, Patientendaten) und die datenschutzrechtlichen Risiken.
- Bestimmen Sie, welche Lücken zur DSGVO zu schließen sind.
- Überprüfen Sie, ob für jede Verarbeitung von Daten ein Rechtfertigungsgrund vorliegt. Dokumentieren Sie ihn.
- Überprüfen Sie, ob ein Datenschutzbeauftragter zu ernennen ist.
- Überprüfen und aktualisieren Sie Privacy Policies, Einwilligungserklärungen und Informationen.
- Überprüfen Sie Data-Processing-Verträge und andere Vereinbarungen mit anderen Datenverantwortlichen und Auftragsdatenverarbeitern. Betroffen sein können klinische Prüfverträge, CRO-Verträge und andere. Auch die Zusammenarbeit mit Nicht-EU-Partnern ist zu prüfen.
- Überprüfen Sie die IT-Sicherheit und bauen Sie diese von Beginn an in alle Ihre Prozesse ein (Security by Design).
- Erstellen Sie ein Verfahrensverzeichnis und implementieren Sie ein Datenschutz-Management-System.
- Gestalten Sie Prozesse, wie zum Beispiel Betroffenenrechte und Informationspflichten umgesetzt werden. Gleiches gilt für die Durchführung einer Datenschutzfolgenabschätzung.
- Implementieren Sie Prozesse für den Umgang mit Datenschutzverstößen.
- Schulen und sensibilisieren Sie Ihre Mitarbeiter zu neuen Anforderungen aus der DSGVO.
Studie: Nachholbedarf in der Umsetzung
Ab dem 25. Mai 2018 müssen die Regelungen der EU für den Schutz der Daten im Unternehmen umgesetzt sein. Das gibt die Datenschutzgrundverordnung (DSGVO, auch GDPR – General Data Protection Regulation) vor. Aber welche Fortschritte machen Unternehmen in Deutschland, Frankreich und Großbritannien beim Implementieren dieser Vorgaben? Das wurde in einer Studie von Proofpoint, Inc., einem Cybersecurity-Unternehmen, untersucht und Ende 2017 vorgestellt. Demnach schnitt Deutschland im Drei-Länder-Vergleich am schlechtesten ab.
Proofpoint hat für die Studie “The Great Disconnect” 1500 IT-Entscheider aus Großbritannien, Frankreich und Deutschland in Unternehmen mit mehr als 200 Mitarbeitern zum Thema DSGVO befragt. Dabei ging es vor allem um die Vorbereitung und Umsetzung der DSGVO. „Keine sechs Monate mehr bis zum Stichtag, und deutsche Unternehmen sind nicht richtig vorbereitet”, zog Werner Thalmeier, Director Systems Engineering EMEA von Proofpoint, Bilanz. „Viele Manager hierzulande scheinen sich ihrer Verantwortung für den Datenschutz nicht bewusst zu sein.“
So wussten zum Zeitpunkt der Studie beispielsweise weit weniger als die Hälfte (42 %) der deutschen Unternehmen überhaupt, welche Art persönlicher Daten (wie Name, Adresse, Geburtsdatum, E-Mail-Adressen, Gesundheitsdaten und so weiter) sie überhaupt speichern und verarbeiten. Und nicht einmal in jedem vierten Unternehmen (23 %) beschäftigt sich das obere Management aktiv mit der kommenden DSGVO. Großbritannien und Frankreich sind den deutschen Unternehmen hierbei weit voraus.
Die meisten Unternehmen sahen die Umsetzung der Datenschutzgrundverordnung als vorwiegend von der IT zu lösende Aufgabe, sodass acht von zehn Unternehmen (82 %) die IT mit in die Umsetzung nehmen. Doch diejenigen, die in vielen Fällen die persönlichen Daten nutzen, wie das Marketing, waren nur bei jedem vierten Unternehmen (27 %) beteiligt.
Ein weiteres Thema der DSVGO sind Hackerangriffe und wie die Betroffenen damit umgehen müssen. So müssen Unternehmen beispielsweise die Daten vor unbefugtem Zugriff schützen und jeden Einbruch binnen 72 Stunden an die Behörden melden. Immerhin verzeichneten zwei von drei befragten Firmen (64 %) in den vergangenen zwei Jahren unberechtigte Zugriffe auf geschützte Daten. Interessant dabei ist, dass 78 % der befragten französischen Unternehmen erwarten, dass dies in den nächsten zwölf Monaten erneut geschieht, in Deutschland erwarten dies mit 46 % weniger als die Hälfte der Befragten. Allerdings scheinen einige Unternehmen Datenlecks schon als „normal“ zu betrachten, denn immerhin jedes vierte der befragten Unternehmen (24 %) in den drei Ländern hat sich gegen den unberechtigten Datenzugriff versichert. (op)