powerded by www.buchreport.de
i
Management, IT/Herstellung, Pubiz-Newsletter

Compliance

Datenschutz – Was sich durch die EU DS-GVO für die Buchbranche ändert

Von Michael Vogelbacher

Europa harmonisiert sein Datenschutz-Recht – und zwingt auch Medienunternehmen zum Handeln. Die EU DS-GVO (Europäische Datenschutz-Grundverordnung) betrifft viele Unternehmensbereiche und muss zum 25. Mai 2018 komplett umgesetzt sein. Die Buchbranche sollte rasch und abgestimmt handeln.

 

Warum Datenschutz?

In der Informationsgesellschaft werden immer mehr Daten gesammelt und verarbeitet. Aber niemand kann wollen, dass Mitarbeiterlisten oder Autorendaten für jeden und damit auch für Wettbewerber frei zugänglich sind, E-Mail-Accounts kompromittiert werden oder durch Cyberattacken ganze IT-Infrastrukturen und Unternehmen lahmgelegt werden, wie es immer häufiger geschieht. 

Deshalb gibt es einen umfassenden Datenschutz. 

Grundsätzlich darf jeder entscheiden, was mit seinen persönlichen Daten passiert und ein Unternehmen der Buchbranche muss das beim Umgang mit Kunden-, Lieferanten-, Autoren- und Mitarbeiterdaten im Sinne des Datenschutzes stets beachten.

Datenschutz hat nichts mit der Unternehmensgröße zu tun, anders als vielfach angenommen wird. Sobald personenbezogene Daten in einem Unternehmen automatisiert verarbeitet werden, wobei schon E-Mail-Kommunikation reicht, ist dieses verpflichtet, die Auflagen aus dem Bundesdatenschutzgesetz (BDSG) und anderen Vorschriften zum Datenschutz zu erfüllen. Einen Datenschutzbeauftragten müssen Unternehmen ab 10 Mitarbeitern bestellen, die ständig mit personenbezogenen Daten arbeiten. Und dazu gehören wie angedeutet bereits E-Mails, so dass praktisch kein Mitarbeiter, keine Mitarbeiterin im Unternehmen in der Praxis ausgenommen werden kann.

In einer digitalen Welt gewinnt Datenschutz immer mehr an Bedeutung. Dies hat nun zu einer europaweit einheitlichen Regelung geführt. Die EU DS-GVO (Datenschutz-Grundverordnung) tritt in der Ausprägung eines neuen Bundesdatenschutzgesetzes zum 25.5.2018 in Kraft. Ab dann gilt das neue Recht auch in Deutschland. Übergangsvorschriften sind nicht vorgesehen. Unternehmen müssen jetzt die Zeit bis Mai 2018 nutzen, um ihre Prozesse und ihre Infrastruktur fit für die neuen Anforderungen zum Datenschutz zu machen – in technischer, organisatorischer und rechtlicher Hinsicht. 

Dabei sollte man die Erfordernisse und wiederkehrenden Aufgaben des Datenschutzes nicht unterschätzen. Wer beispielsweise die Daten eines Kunden nicht nutzt und sie nicht löscht, obwohl dieser zur Löschung aus der Kundenliste aufgefordert hat, dem drohen Bußgelder von bis zu 20 Mio Euro oder 4% des Unternehmensumsatzes pro Jahr, je nachdem was günstiger ist. Das Gesetz sieht dabei vor, dass die Strafen wirksam, verhältnismäßig und abschreckend sein sollen. Es ist davon auszugehen, dass das geschärfte Bewusstsein der Aufsichtsbehörden zu verstärkten Prüfungen und im Falle von Defiziten zu empfindlichen Sanktionen führen wird. 

Deshalb: Datenschutz geht alle an!

Sofern Sie schon Prozeduren für den Datenschutz eingeführt haben, müssen Sie im Zuge der EU DS-GVO überprüfen, ob Sie sämtliche datenschutzrelevante Prozesse im Unternehmen hinreichend und aktuell dokumentiert haben. Denn die EU DS-GVO sieht in Art 5 II neuerdings eine Rechenschaftspflicht des verantwortlichen Unternehmers vor. Verpflichtend ist es deshalb, zukünftig ein Datenschutzmanagementsystem für Unternehmen einzuführen – am besten gleich in Form eines ISMS (Informations-Sicherheits-Manangement-System), weil durch die EU DS-GVO auch einzuhaltende Schutzziele wie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste in Art 32 I b gefordert werden. Sie müssen sich also mit dem Aufbau einer solchen Systematik mit Feststellung des Schutzbedarfs und einer Risikobewertung befassen. 

Die Auftragsdatenverarbeitung heißt zukünftig Auftragsverarbeitung. Auch hier müssen neue vertragliche Vereinbarungen mit Dienstleistern geschlossen werden, denn mit der EU DS-GVO trifft nun auch den Auftragnehmer eine Mitverantwortung für die Verarbeitung von Daten. Insbesondere trifft auch den Auftragnehmer eine Pflicht zur Umsetzung eigener technischer und organisatorischer Maßnahmen zur Datensicherheit. Haftungsfragen müssen in diesem Zuge neu geklärt werden. Eine Vereinbarung zur Funktionsübertragung wie bisher teilweise geschehen wird hinfällig.

Nicht generell zu beurteilen ist die Frage der Weitergabe von personenbezogenen Daten an Drittstaaten. Zwar existiert eine Liste sicherer Drittstaaten, die dem geforderten Datenschutzniveau entsprechen, jedoch sollten Sie bei der konkreten Nutzung zum Beispiel von Cloud Services in den USA Ihren Datenschutzbeauftragten oder einen externen Datenschützer konkret zu Ihrem Fall befragen. Bisher zeichnet sich hier keine einheitliche und rechtssichere Lösung ab, die Frage nach dem physischen Verbleib der Daten (Landesprinzip) findet zunehmend Anwendung, was dem primären Geschäftszweck der Cloudnutzung oft entgegensteht. 

Zudem sollten Sie überprüfen, ob Sie im Bereich der Betroffenenrechte die Vorkehrungen getroffen haben, Daten von Betroffenen auch wirklich löschen zu können. Denn die EU DS-GVO sieht das „Recht auf Vergessenwerden“ in Art. 17 ausdrücklich vor. Unsere Erfahrung zeigt, dass ein funktionierendes Löschkonzept eher die Ausnahme ist. Durch die drohenden Strafen durch Aufsichtsbehörden, aber auch durch die Möglichkeit zur Abmahnung durch Wettbewerber in diesem Bereich sollten Sie auch auf dieses Thema ein besonderes Augenmerk legen. 

Haben Sie sich bisher noch nicht intensiv mit dem Datenschutz auseinandergesetzt, sollten Sie jetzt spätestens aktiv werden. Mit der EU DS-GVO bietet sich für Sie die Notwendigkeit und Chance, das in Ihrem Unternehmen verbindlich umzusetzende Thema Datenschutz direkt nach den neuen Regelungen zu konzipieren. Wegen der Fülle der Aufgaben sollten Sie hier keine Zeit verlieren.

Vergessen Sie nicht, auch Ihren Internetauftritt auf vollständige, gültige und ordnungsgemäß eingebundene Datenschutzbestimmungen rechtlich prüfen zu lassen. Denn auch hier drohen Abmahnungen, aber auch Kontrollen der Aufsichtsbehörden.

Es gibt aber auch eine gute Nachricht: Das Führen von Verfahrensverzeichnissen wird für Unternehmen bis 250 Mitarbeiter erleichtert (vgl. Art. 30 V EU DS-GVO), eine Regelung, die viele Unternehmen der Buchbranche betreffen dürfte. Zudem entfällt das bisher notwendige Verfahrensverzeichnis für jedermann. 

Die Umsetzung der EU DS-GVO ist ein komplexes Projekt und sollte ohne Verzögerung in Angriff genommen werden. Säumige Unternehmen riskieren wettbewerbsrechtliche Abmahnungen.

Kurze Checkliste für die Umsetzung der EU DS-GVO und des BDSG-neu

  • Haben Sie 10 oder mehr Mitarbeiter? Dann benötigen Sie einen Datenschutzbeauftragten, den Sie der Aufsichtsbehörde mit Gültigkeit der EU DS-GVO melden müssen.
  • Haben Sie ein Löschkonzept für personenbezogene Daten, insbesondere Kundendaten? Es gibt umfangreiche Änderungen im Bereich der Betroffenenrechte.
  • Haben Sie eine Übersicht über Ihre Prozesse im Unternehmen, bei denen regelmäßig personenbezogene Daten verarbeitet werden? Diese benötigen Sie für die Verarbeitungsverzeichnisse früher Verfahrensverzeichnisse.
  • Arbeiten Sie mit besonders sensiblen personenbezogenen Daten oder haben Sie eine Videoanlage installiert? Dann unterliegen Ihre Prozesse der Fusionskontrolle.
  • Haben Sie Ihre Prozesse auf die Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Belastbarkeit geprüft? Diese neue Anforderung setzen Sie am besten mit einem Informationssicherheitssystem oder Datenschutzmanagementsystem um.
  • Haben Sie Auftragsdatenverarbeitungsverträge (ADV) geschlossen? Diese heißen nun Auftragsverarbeitungsverträge und haben eine gemeinsame Verantwortlichkeit zur Folge.
  • Haben Sie die Prozesse und Maßnahmen sauber dokumentiert? Sie trifft zukünftig eine Rechenschaftspflicht.
  • Ist Ihre Website auf dem aktuellen Stand bzgl. der Datenschutzbestimmungen? Ansonsten droht eine Abmahnung.

 

Michael Vogelbacher ist Rechtsanwalt und seit 20 Jahren in der Buchbranche in verschiedenen Positionen aktiv. Mit seinem Unternehmen ADVOKAT PRO betreut er diverse IT- und Medien- Unternehmen als externer Justiziar und als externer Datenschutzbeauftragter.

17. Juli 2017