Von Markus Kaulartz *)High Noon beim Datenschutz: Ab dem 25. Mai 2018 gilt für alle Unternehmen in der EU die neue Datenschutz-Grundverordnung (DSGVO). Die gesetzlichen Vorgaben müssen zu diesem Fixtermin in allen Abteilungen und im Zusammenspiel mit sämtlichen Stakeholdern umgesetzt sein. Der Haken: So mancher Manager unterschätzt den Aufwand. Denn obwohl die neuen Regelungen seit knapp zwei Jahren im Detail bekannt sind, hat sich laut einer Umfrage des Branchenverbandes Bitkom jedes dritte Unternehmen in Deutschland noch gar nicht mit dem Thema befasst. Es sei ja noch Zeit, und die IT habe das sowieso im Griff, hört man häufig von Unternehmensseite.Doch wer so denkt, der irrt. Denn Umsetzungsbummlern oder gar -verweigerern droht das Gesetz bis zu 20 Mill. Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes als Geldbuße an.Um das Rennen gegen die Zeit doch noch zu gewinnen, sollten Geschäftsführer und Unternehmer jetzt schnellstmöglich drei entscheidende Weichen stellen. Erstens ist zunächst eine Datenschutzorganisation aufzusetzen, die sowohl extern als auch intern als Ansprechpartner dient und für die Rechtmäßigkeit der Datenverarbeitungsvorgänge sorgt. Sie ist Teil eines neuen Datenschutzmanagements.Zweitens sind neue, standardisierte Prozesse zu schaffen, die von den Mitarbeitern zu beachten sind. Diese Prozesse regeln etwa, wann und wie Daten gelöscht werden müssen, wie mit Betroffenenrechten umzugehen ist und in welchen Fällen Datenschutzverstöße an Datenschutzbehörden zu melden sind.Schließlich trifft drittens alle Unternehmen ab dem Stichtag eine erweiterte Rechenschaftspflicht, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Um das im Zweifel auch ausreichend beweisen zu können, hat der Gesetzgeber penible Dokumentationspflichten eingeführt. Beschrieben werden muss etwa, wie der Datenschutz im Unternehmen funktioniert und welche Mitarbeiterschulungen durchgeführt wurden.Wie bereits nach bisheriger Rechtslage gelten auch die neuen Regelungen immer dort, wo personenbezogene Daten verarbeitet werden. Darunter fallen neben Kundendaten und Mitarbeiterdaten zum Beispiel auch Daten von Geschäftspartnern. Es spielt keine Rolle, ob die Daten im privaten oder im beruflichen Kontext verarbeitet werden oder ob sie vielleicht öffentlich zugänglich sind. Einzig und allein die Tatsache, dass mit ihnen eine natürliche Person identifiziert werden kann, genügt. Nach der Rechtsprechung des Europäischen Gerichtshofs zählt hierzu sogar die IP-Adresse von Webseitenbesuchern.Neben vielen Detailänderungen liegen die für Unternehmen wichtigsten Neuerungen in stark gestiegenen Transparenz- und Dokumentationspflichten, insbesondere hinsichtlich aller Datenverarbeitungstätigkeiten und der technischen und organisatorischen Maßnahmen, die zum Schutz der Daten umgesetzt worden sind. Es geht also nicht mehr nur darum, datenschutzkonform zu arbeiten, sondern man muss dies auch belegen können. Das Stichwort hierzu lautet in der Praxis Accountability. Dies gilt nicht nur bei Informationsverlangen von Datenschutzbehörden, die zugegebenermaßen aus Kapazitätsgründen nur punktuell vorkommen dürften. Auch Betroffene, also etwa Kunden, deren Daten verarbeitet werden, haben die Möglichkeit, umfassend Auskunft zu verlangen. Darüber und über weitere Details der Datenverarbeitung müssen die Unternehmen künftig informieren und dabei sogar die einschlägige Rechtsgrundlage nennen. Auch Verträge mit Dienstleistern, die im Auftrag personenbezogene Daten bearbeiten, müssen neu verhandelt und zum Beispiel im Hinblick auf den Einsatz von Subunternehmern angepasst werden. Daneben wurden das Recht auf Vergessenwerden und das Recht auf Datenportabilität normiert. Für Entwickler werden das Gebot der datenschutzrechtlichen Voreinstellungen sowie des Datenschutzes durch Technikgestaltung relevant. Beide sollen dafür sorgen, dass personenbezogene Daten so wenig wie möglich verarbeitet werden.Zu Mehraufwand wird auch die neue Datenschutzfolgenabschätzung führen, die verlangt, dass bei Datenverarbeitungstätigkeiten zunächst eine Risikobewertung durchgeführt wird. AuslegungsspielraumDie massive Erhöhung der Bußgelder hat sich schon herumgesprochen. Panikmache ist allerdings fehl am Platz, denn die konkrete Höhe bestimmt sich nach verschiedenen Faktoren, unter anderem nach der Schwere des Verstoßes und den umgesetzten Datenschutzmaßnahmen der Unternehmen. Deshalb ist es jetzt umso wichtiger, dass bisher untätig gebliebene Unternehmen aktiv werden. Daneben stehen mögliche Unterlassungs- und Löschungsverfügungen der Behörden sowie Schadensersatzansprüche von Betroffenen als weitere Folgen für Bummler im Raum. Auch Klagen von Verbänden sind erlaubt. Ein Blick in die Praxis zeigt allerdings auch, wie wichtig es ist, die neuen Regelungen maßvoll und pragmatisch umzusetzen. Viele Normen lassen einen Auslegungsspielraum zu. Mitarbeitern dürfen deshalb nicht unnötig Steine in den Weg gelegt werden. Und die Betriebsabläufe müssen so schlank und effizient wie möglich gehalten werden.—-*) Dr. Markus Kaulartz ist Rechtsanwalt bei CMS Deutschland.