Die Datenschutzbestimmungen, die Unternehmen in der EU beachten müssen, werden in der EU–Datenschutzgrundverordnung (DSGVO) geregelt, die seit 2018 gilt. Sie gilt auch für Unternehmen aus Nicht–EU–Ländern, die mit personenbezogenen Daten von EU–Bürgern arbeiten (also etwa Facebook oder Google). Die DSGVO will in erster Linie die Rechte der EU–Bürger schützen und ihnen mehr Kontrolle über die eigenen Personendaten geben.
Welche Prozesse sind betroffen? Was sollten Sie als erstes angehen? Um Sie bei der Orientierung zu unterstützen, bieten wir Ihnen als Börsenvereins–Mitglied die praktische Broschüre Erste Hilfe zur Datenschutz–GrundverordnungExklusiv aus dem Verlag C.H.BECK kostenlos zum Download an.
Einen kurzen Überblick über die wesentlichen von Buchhandlungen und Verlagen zu beachtenden Baustellen gibt Ihnen unser Merkblatt zur DSGVOExklusiv.
Betroffen sind alle Unternehmen, die mit personenbezogenen Daten arbeiten. Sowohl im Handels– als auch im Verlagsbereich sind dies etwa alle Betriebe, die im Direktgeschäft mit Endkunden personenbezogene Daten aufnehmen und/oder speichern. Zu den personenbezogenen Daten zählen aber auch persönliche Daten der eigenen Mitarbeiter oder von Geschäftspartnern. Zudem regelt die DSGVO die Anforderungen an Prozesse der Datenspeicherung wie auch an Techniken zur Identifikation von Personen (z.B. Cookies) neu.
Unternehmen müssen zwingend ihre Geschäftsprozesse an die DSGVO anpassen. Andernfalls drohen Bußgelder in Höhe von bis zu vier Prozent des Vorjahresumsatzes bzw. bis zu 20 Mio. Euro bei besonders schwerwiegenden Verstößen. Die Umstellung betrifft je nach Geschäftsmodell und Unternehmensgröße in der Praxis v.a. verschärfte Dokumentations– und Informationspflichten, die Anpassung von Verträgen, Datenschutz– und Einwilligungserklärungen (on– und offline), die Umgestaltung der Datenverarbeitungs– und auch der betrieblichen Organisationsprozesse bis hin zur verpflichtenden Benennung eines Datenschutzbeauftragten. Generell gilt fortan eine Beweislastumkehr, d.h. den Unternehmen müssen Verletzungen der Datenschutzpflichten nicht mehr tatsächlich nachgewiesen werden; nunmehr müssen sich diese stattdessen aktiv für ihre Datenschutzpolitik rechtfertigen. Das bedeutet, dass sämtliche Prozesse so organisiert und dokumentiert werden müssen, dass jederzeit die Einhaltung der Datenschutzpflichten nachgewiesen werden kann.
Eine individuelle Beratung von mehreren Tausend Mitgliedern können unsere Juristen leider nicht leisten. Anders als etwa im Bereich des E–Commerce helfen Vorlagen oder Mustertexte angesichts der Komplexität des neuen Datenschutzrechts nicht weiter. Denn bevor z.B. Datenschutzerklärungen erstellt werden können, ist zunächst eine intensive Befassung mit dem jeweiligen Unternehmen und dessen Geschäftsprozessen und Organisation erforderlich. Erst wenn geklärt ist, wer von wem zu welchem Zweck welche Daten erhebt und v.a. wie er/sie mit diesen Daten in technischer Hinsicht verfährt, können die entsprechenden Erklärungen formuliert werden. Darüber hinaus sind aber auch die internen Prozesse eines Unternehmens im Hinblick auf den Datenschutz individuell zu erfassen und sodann entsprechend aufzusetzen.
Auch aus rechtlichen Gründen sind die Juristen in der Rechtsabteilung daran gehindert, die hier erforderliche individuell zugeschnittene Rechtsberatung durchzuführen, da sie nicht in Konkurrenz zu den niedergelassenen Anwälten treten dürfen. Die Rechtsabteilung hat jedoch ein im Mitgliederbereich abrufbares MerkblattExklusiv erstellt, das – u.a. mit Hilfe praxisrelevanter Beispiele – die neuen Datenschutzbestimmungen erläutert.
Ferner halten zahlreiche Institutionen Informationsmaterialien bereit, die gut geeignet sind, einen ersten Überblick und Einstieg in die Materie zu vermitteln. Nahezu jede einzelne IHK verfügt über mehr oder minder umfangreiche eigene Informationen (und auch Ansprechpartner) zum Thema EU-Datenschutzgrundverordnung. Einen sehr umfangreichen Überblick über die einzelnen Unterthemen sowie einige Mustertexte bietet etwa die IHK in Köln; eine allgemeine Kurzzusammenfassung mit Checkliste für die Umsetzung in Unternehmen die IHK Mainfranken.
Der Verband Bitkom stellt eine ausführliche Informationsbroschüre mit FAQ–Liste zur Verfügung, die generell die wichtigsten betroffenen Unternehmensprozesse aufzeigt und sich im Schwerpunkt mit den Auswirkungen auf den Online–Handel beschäftigt.
Mit einem interaktiven Tool des Bayerischen Landesamtes für Datenschutz können Unternehmen ihre eigenen Kenntnisse zur EU DSGVO überprüfen und gegebenenfalls Maßnahmen ergreifen.
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat außerdem eine Reihe von Kurzpapieren zu allen unternehmensrelevanten Bereichen der DSGVO veröffentlicht.
Um über Inhalt, Zweck und Hintergrund der Verordnung zu informieren hat die EU–Kommission eigens eine Infoseite erstellt, auf welcher Merkblätter zu einzelnen Aspekten der DSGVO wie auch ein allgemeiner Leitfaden bereit gestellt werden. Sehr anschaulich werden hier auch die direkten Auswirkungen für kleine und mittlere Unternehmen beleuchtet.
Aufgrund der Komplexität des Themas und der individuell unterschiedlichen Voraussetzungen in den einzelnen Unterthemen gibt es Mustervorlagen lediglich zu speziellen Aspekten der DSGVO (etwa eine Mustervertragsanlage zur Auftragsverarbeitung der Bitkom). Rechtssichere Datenschutz– oder Einwilligungserklärungen gibt es nicht als ungeprüft verwendbare Vorlage; diese müssen individuell erstellt bzw. angepasst werden. Hierbei kann jedoch eine ganze Reihe von Informationen sehr konkret unterstützen. So informiert etwa das Einzelhandelslabor Südwestfalen praxisorientiert und zeigt Musterbeispiele für ein Verfahrensverzeichnis. Die vom Berufsverband der Rechtsjournalisten betriebene Seite datenschutz.org zeigt Beispiele von Datenschutz– und Einwilligungserklärungen im Netz. Die IHK Schleswig–Holstein zeigt ebenfalls Beispiele bzw. Muster in Ihrer Publikation Pflichtangaben im Internet – Datenschutzerklärung. Zudem gibt es im Netz zahlreiche z.T. zunächst kostenlose Angebote (Tools) von Portalen oder Einzelanbietern, auf die Sie zurückgreifen und mit deren Hilfe Sie eine individuelle Datenschutzerklärung erstellen können. Bitte beachten Sie aber hierbei, dass eine weiterführende Beratung oder direkte Konsultation in der Regel entgeltlich ist.
Schulungsangebote gibt es speziell für die Buchbranche über den Mediacampus in Frankfurt wie auch über die Landesverbände des Börsenvereins. Darüber hinaus gibt es zahlreiche Schulungsangebote der regionalen IHK und der jeweiligen Landesbeauftragten für den Datenschutz.