BizCover / Interview
Dringende Chefsache: EU-DSGVO

Die Uhr tickt: Ab dem 25. Mai 2018 wird die neue EU-Datenschutz-Grundverordnung gelten. Lior Yarom, Head of DIgital Business bei der Ritthammer Media Group, erkundigte sich vor diesem Hintergrund beim Datenschutz-Spezialisten Fritz Hünselar-Schroeder von BizCover über Auswirkungen und Konsequenzen des neuen Gesetzes für die Möbelbranche.

MM: Die EU-Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018. Wen betrifft die neue Regelung?

Fritz Hünselar-Schroeder: Die EU-DSGVO ist am 25. Mai 2016 in Kraft getreten und gilt ab dem 25. Mai 2018 in allen Mitgliedstaaten der EU. Sie gilt damit grundsätzlich für jeden, der personenbezogene Daten zumindest teilweise automatisiert verarbeitet oder sie in einem Dateisystem speichert oder zu speichern beabsichtigt. Und zwar soweit dies im Rahmen der Tätigkeit eines Verantwortlichen, einer Niederlassung oder eines Auftragsverarbeiters in der Europäischen Union erfolgt - unabhängig davon, ob die Verarbeitung selbst in der EU stattfindet. Zusätzlich gibt es mit dem sogenannten Marktortprinzip eine wichtige Neuerung: Die EU-DSGVO ist auch auf Unternehmen außerhalb der EU anwendbar, wenn diese betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

MM: Ist das Bundesdatenschutzgesetz in Zukunft nur noch gültig, wenn die EU-Verordnung nicht etwas anderes vorschreibt oder wird es auch eine Neuauflage des BDSG geben?

Hünselar-Schroeder: Nach dem Grundsatz des Anwendungsvorrangs des Europarechts haben die nationalen Behörden und Gerichte die Vorschriften des Unionsrechts anzuwenden, auch wenn eine nationale Regelung entgegensteht. Das bedeutet, dass Regelungen in deutschen Gesetzen von den deutschen Behörden und Gerichten nicht mehr angewendet werden dürfen, wenn diese den Regelungen der EU-DSGVO widersprechen.

Soweit deutsche Gesetze der Verordnung widersprechen, sind die Normen zwar weiterhin gültig, dürfen jedoch nicht mehr von den Behörden und Gerichten angewendet werden. Um diese Rechtsunsicherheit möglichst zu vermeiden, hat der deutsche Gesetzgeber, durch das “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU), ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, welches am 25. Mai 2018 in Kraft tritt und das derzeitige Bundesdatenschutzgesetz ablöst.

Allerdings können auch datenschutzrechtliche Vorschriften in anderen Gesetzen vom Anwendungsvorrang und der EU-DSGVO betroffen sein. Unter anderem auch die Landesdatenschutzgesetze und die Sozialgesetzbücher. Die Änderungen in den Sozialgesetzbüchern in Bezug auf die EU-DSGVO wurden durch das “Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften“ bereits beschlossen und treten ebenfalls am 25. Mai 2018 in Kraft. Die Änderungen der weiteren Gesetze wird noch Zeit beanspruchen. Aber auch wenn diese Gesetze noch nicht bis zum 25. Mai 2018 geändert worden sein sollten, gilt die EU-DSGVO und hat Anwendungsvorrang vor den noch nicht geänderten und der EU-DSGVO widersprechenden Normen.

MM: Auch in der Möbelbranche gehört der Umgang mit personenbezogenen Daten zum Alltag. Was ist Ihrer Meinung nach die gravierendste Veränderung, die durch die Verordnung und speziell im Hinblick auf die Möbelbranche in Kraft tritt?

Hünselar-Schroeder: Meines Erachtens hat die Möbelbranche eine durchaus gute Grundlage zur Umstellung auf die EU-DSGVO, da der Datenschutz für den Umgang mit personenbezogenen Daten bereits in den meisten Unternehmen der Branche zum Alltag gehört. Ein Datenschutzbeauftragter muss bereits jetzt bestellt sein und die Standesregeln legen schon immer einen zum Teil über das geltende Gesetz hinausgehenden Schutz fest.

Was sich allerdings signifikant ändert, ist der Dokumentationsaufwand entsprechend Art. 5 Absatz 2 EU-DSGVO: “Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze des Datenschutzes] verantwortlich und muss dessen Einhaltung nachweisen können. Das bedeutet eine klare Rechenschaftspflicht und dass der Verantwortliche im Zweifel lückenlos nachweisen muss, alle Regelungen der Datenschutzgrundverordnung eingehalten zu haben. In Art. 82 Absatz 3 EU-DSGVO geht es um Schadensersatz gegenüber Personen. Hier wird die Beweislast allein dem Verantwortlichen auferlegt, dies bedeutet eine Umkehrung des in unseren Köpfen ansonsten verankerten Unschuldsprinzip. Das Verschulden des Verantwortlichen und des Auftragsverarbeiters werden somit vermutet, sofern er nicht nachweist, “dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Auch die Informations- und Transparenzpflichten gegenüber den betroffenen Personen wurden ausgeweitet.

MM: Vielen Datenschutzverantwortlichen ist große Verunsicherung und Angst vor einem regelrechten Verwaltungschaos in ihren Unternehmen anzumerken. Teilen Sie diese Erwartungen?

Hünselar-Schroeder: Ein Verwaltungschaos erwarte ich nicht, aber ganz sicher einen deutlich erhöhten Verwaltungs- und Dokumentationsaufwand sowie Rechtsunsicherheit. Das liegt im Wesentlichen daran, dass es entgegen der bisherigen Rechtslage nicht mehr auf die Auslegung deutschen Rechts durch deutsche Gerichte, Behörden und Kommentatoren ankommt, sondern auf die Auslegung europäischen Rechts. Bei problematischen Themen werden letztendlich erst in ein paar Jahren, wenn nicht Jahrzehnten, Entscheidungen des Europäischen Gerichtshofs Rechtssicherheit schaffen. Dies gilt insbesondere für die juristische Auslegung unbestimmter Rechtsbegriffe wie beispielsweise “berechtigte Interessen“.

MM: Viele Unternehmen zeigen hohen Respekt vor den durchaus drakonischen Strafen, die bei Verstößen fällig werden können. Es scheint nicht klar, wie man sich in Zukunft rechtssicher verhält. Müssen Arbeitgeber durch das hohe Risiko bei Verstößen um Ihre Existenz fürchten?  

Hünselar-Schroeder: Die Geldbußen sollen in jeden Einzelfall “wirksam, verhältnismäßig und abschreckend“ sein. Abhängig von der Art des Verstoßes drohen Bußgelder von bis zu 10 Mio. Euro beziehungsweise bis zu 20 Mio. Euro oder sogar bis zu 2 beziehungsweise 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Die Höchstgrenze ist der jeweils höhere Betrag.

Bei der Festsetzung des Bußgeldes sollen verschiedene Aspekte berücksichtigt werden. Zum Beispiel die Art, Schwere und Dauer des Verstoßes, die Betrachtung von Vorsatz oder Fahrlässigkeit hinsichtlich der Art des Verschuldens oder die aus dem Verstoß erzielten finanziellen Vorteile. Im Rahmen der Verhältnismäßigkeit muss beispielsweise auch die Größe des Betriebs berücksichtigt werden. Wie sich hier die Rechtsprechung entwickelt, muss beobachtet werden. Mit diesen Bußgeldvorschriften ist aber eindeutig die Grundlage dafür geschaffen worden, empfindliche Bußgelder verhängt zu können, um insbesondere auch große Unternehmen und sogenannte “Datenkraken“ besser als bisher unter Druck setzen zu können. Politisch ist dies so gewollt.

Unternehmen müssen im Vorfeld sorgfältig darauf achten, den Datenschutz und die Datensicherheit penibel, professionell und nachweisbar, idealerweise im Rahmen eines ganzheitlichen Compliance-Management-Systems, zu organisieren; gerade auch in der personellen Besetzung der zuständigen und verantwortlichen Mitarbeiter*Innen. Es wird, wenn rechtswidrig gehandelt wurde, auf Details ankommen, etwa im Hinblick auf “Art, Schwere und Dauer des Verstoßes“ und insbesondere hinsichtlich “Art und Dauer des Verschuldens“.

MM: Erkennen Sie auch positive Aspekte aus Unternehmenssicht?

Hünselar-Schroeder: Ja, für deutsche Unternehmen ergeben sich meines Erachtens auch Chancen. Zum einen wird das Datenschutzniveau innerhalb der Union grundsätzlich vereinheitlicht, wenn auch nicht vollharmonisiert. Zum anderen stärkt das Marktortprinzip gleiche Wettbewerbsbedingungen, vor allem gegenüber der steigenden Zahl an Unternehmen, die ihre Waren und Dienstleistungen über das Internet in der Europäischen Union erbringen, ihren Sitz jedoch außerhalb der EU haben. 

MM: Kann man noch von einer Harmonisierung sprechen, wenn jedes EU-Land zahlreiche nationale Öffnungsklauseln festlegen kann? Oder sind die nationalen Anpassungsmöglichkeiten stark begrenzt? 

Hünselar-Schroeder: Durch Öffnungs- beziehungsweise Spezifizierungsklauseln wird das EU-DSGVO in der Tat nicht in allen Themenbereichen zu einer Vollharmonisierung des Datenschutzrechts in Europa führen. Andererseits ist jedoch zu berücksichtigen, dass nationale Regelungen nur im Rahmen der Öffnungsklauseln erlassen werden können.

MM: Welche Ratschläge würden Sie Datenschutzverantwortlichen in Unternehmen zur Vorbereitung erteilen? 

Hünselar-Schroeder: Das Wichtigste vorab: Grundsätzlich ist weiterhin die Geschäftsleitung für die Einhaltung der Datenschutzvorschriften verantwortlich und nicht der Datenschutzbeauftragte. Machen Sie die EU-DSGVO daher aus eigenem Interesse unverzüglich zur Chefsache! 

Wer verantwortlich ist - beziehungsweise gemacht wird - und sich bisher noch nicht mit den Auswirkungen der EU-DSGVO beschäftigt hat, sollte jetzt unbedingt damit beginnen. Unabhängig von der Größe des Unternehmens werden Änderungen erforderlich sein und sie müssen zunächst identifiziert werden. Zumeist können die Änderungen nicht innerhalb weniger Tage umgesetzt werden. Es braucht also einen Maßnahmenplan mit eindeutig fixierten Zielen, Aufgaben, Zuständigkeiten, Verantwortlichen und Terminen. Gerade aufgrund der Rechenschafts- und Nachweispflicht ist es sehr wichtig, dass die Zeit bis zum 25. Mai 2018 genutzt wird, um zu prüfen, welche Daten es im Unternehmen gibt, wie und ob diese gesetzeskonform verarbeitet werden und welche Änderungen möglicherweise umgesetzt werden müssen. Als Grundlage eignet sich hier insbesondere das Erstellen und Führen eines ausführlichen Verzeichnisses von Verarbeitungstätigkeiten. Ich rate auch dringend dazu, ein Datenschutz-Management-System oder besser noch eine ganzheitliche Compliance-Struktur zu schaffen. Sicher ist sicher!

Unverzichtbar ist, den Datenschutzbeauftragten einzubeziehen. Nach Art. 37 EU-DSGVO in Verbindung mit § 38 BDSG-neu ist die Benennung eines Datenschutzbeauftragten weiterhin ausdrücklich im Gesetz verankert, wenn personenbezogene Daten geschäftsmäßig verarbeitet werden. Seine Aufgaben ergeben sich aus Art. 39 EU-DSGVO. Neu ist unter anderem die Formulierung: “Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union beziehungsweise der Mitgliedstaaten“. Bisher hieß es noch, dass der Beauftragte für den Datenschutz auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz “hinwirkt“. Wie genau sich diese Änderung auswirkt, ist, wie manches, noch unsicher. Für den Datenschutzbeauftragten wird es zumindest noch wichtiger, seine Tätigkeit und seine Hinweise und Stellungnahmen an die Geschäftsleitung ausführlich dokumentiert, um im kritischen Fall nachweisen zu können, dass er alles Erforderliche getan hat, um für die Einhaltung der Verordnung zu sorgen.

MM: Herr Hünselar-Schroeder, wir bedanken uns für Ihre Informationen, freuen uns, Sie zukünftig als MÖBELMARKT-Experten in unserem MÖBELMARKT - Business-Forum an Bord zu haben und weisen bereits heute auf Ihre demnächst regelmäßig hier veröffentlichten Experten-Beiträge hin.