1. Die EU-DSGVO im Vergleich zur bisherigen Rechtslage
Bei vielen deutschen Unternehmen herrscht trotz zweijähriger Übergangsfrist Unsicherheit, ob ihre IT- und Datenverarbeitungsprozesse mit den Anforderungen des neuen EU-Datenschutzregimes (EU-DSGVO) konform sind. Soll die Verordnung des Europäischen Parlaments und Rates in Zeiten von global operierenden "Datenaggregatoren" wie Facebook, Apple, Google und Amazon & Co. doch nicht weniger erreichen, als die Rechte "natürlicher Personen" zu schützen und Gerichte mit entsprechenden Werkzeugen auszustatten, um die Einhaltung durch einen angemessenen Rechtsrahmen sowie empfindliche Strafen sicherstellen zu können. Auch oder gerade wegen der Entwicklung oben genannter Internetkonzerne zu Datenmonopolisten im europäischen Rechtsraum.
Als Folge ist fest davon auszugehen, dass die neue Datenschutzverordnung auch den Umgang von Startup-Unternehmern und Mittelständlern erheblich verändern und bei Zuwiderhandlung zu erheblichen Strafen führen wird. Hier wird es interessant zu beobachten sein, inwiefern bei genannten Unternehmen der Bußgeldrahmen von bis zu 20 Mio. EUR oder 4% des weltweiten Konzernumsatzes ausgeschöpft wird.
Hier werden die Themen dieser Abhandlung für Sie weiter vertieft und Empfehlungen zu einem EU-DSGVO-Umsetzungsprojekt aus Projekterfahrung gegeben.
1.1. EU-DSGVO: ein kurzer Überblick
Die EU-DSGVO tritt nach einer Übergangsfrist am 25. Mai 2018 endgültig in Kraft. Grundprinzipien der bisherigen Datenschutzregulierung gemäß Bundesdatenschutzgesetz (BDSG) wie z.B. »Zweckbindung«, »Datenminimierung« und »Transparenz« und die damit verbundene Notwendigkeit einer Einwilligung für die betriebliche Datenverarbeitung sind weiterhin im Datenschutz maßgeblich. Gleiches gilt für die Sorgfaltspflicht bei der Übermittlung in Drittstaaten (Stichwort Cloud-Speicherung).
Hieraus wäre es jedoch falsch abzuleiten, dass das EU-DSGVO nur marginale Änderungen mit sich bringt, wie wir im folgenden Abschnitt "Wesentliche Neuerungen der EU-Datenschutzgrundverordnung" aufzeigen werden. Viel wichtiger ist es hieraus als Entscheider das Verständnis abzuleiten, dass bei der Entwicklung des Datenschutzes zwar Bausteine erhalten bleiben, diese jedoch erheblich modifiziert und mit neuen Anforderungen ergänzt wurden. Ferner wurde der bisherigen Bußgeldrahmen – bis zu 300.000 EUR für ein Vergehen (§ 43 Abs. 2 BDSG) - drastisch erweitert.
Begleitend hat der Gesetzgeber - anders als in der Vergangenheit - deutlich kommuniziert von Sanktionen und Bußgeldern künftig Gebrauch machen zu wollen, um auch globale Internetgiganten zur Compliance mit den Datenschutzanforderungen zu bewegen. Dies bedeutet zusammengefasst, dass die EU-DSGVO der Startschuss für ein neues "Regime" im Datenschutz sein kann und dementsprechend in der eigenen Organisation eine ganz andere Bedeutung einzunehmen hat, denn weitere Entwicklungsstufen sind bereits absehbar (siehe hierzu EU-Diskussion um "ePrivacy").
1.2. Rückblick: Datenschutz in den letzten Jahrzehnten
Um die Diskussionen bzgl. des neuen Stellenwerts einordnen zu können, empfiehlt sich ein Blick in den Status quo zum Thema Datenschutz. Der Schutz persönlicher Daten fand mit dem Hessischen Datenschutzgesetz von 1970 weltweit seinen Anfang und nahm mit der Anpassung des Bundesdatenschutzgesetzes in 1990 einen weiteren Meilenstein. Jedoch blieb die Gesetzesgrundlage - wenige Novellierungen ausgenommen - unverändert und spiegelte die in der Zwischenzeit entstandene, datengetriebene Internetökonomie nicht ausreichend wider. Darüber hinaus wurden Zuwiderhandlungen gegen geltendes Datenschutzrecht nur in Ausnahmefällen mit dann sehr geringen Bußgeldern belegt.
2. Grundbegriffe der EU-DSGVO
Mit Anpassung wesentlicher Begriffsdefinitionen wurden die Hürden, um Verletzungen gegen das EU-DSGVO zu begehen, deutlich abgesenkt. Das Anwendungsfeld wiederum deutlich erweitert. Die angepassten Definitionen der Grundbegriffe stellen somit eine der wesentlichen Quellen für eine Datenschutzverletzung dar und sollen im Folgenden kurz auszugsweise vorgestellt werden:
Personenbezogene Daten
sind »alle Informationen«, die sich auf eine natürliche Person beziehen. Ferner gilt dies auch für Informationen, die mithilfe des »aktuellen Technologiestands eine Zuordnung« zu einer natürlichen Person ermöglichen. Hierunter kann zum Beispiel die Nutzung einer Online-Kennung ("IP-Adresse") verstanden werden, die mithilfe weiterer Informationen eine genaue Zuordnung ermöglicht. Als Folge hieraus sind die im späteren Verlauf skizzierten Anforderungen auch auf solche Fälle anwendbar und der Sanktionsrahmen findet bei Nichtbeachtung entsprechend Anwendung.
Es gilt daher zu berücksichtigen:
- Die Güte der Information spielt keine wesentliche Rolle mehr ("alle Informationen")
- Mit Bezug auf den "aktuellen Stand der Technologie" ist nunmehr sichergestellt, dass alle Informationen, die sich zuordnen lassen, unter diese Definition fallen
- Lediglich rein statistische Informationen unterliegen nicht der EU-DSGVO
(Auszug aus Datenschutzverordnung) </p> <p style="text-align: justify;">Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Artikel 4 Abs. 1)</p> <p style="text-align: justify;">Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solch anonymer Daten, auch für statistische oder für Forschungszwecke. (Artikel 1 Abs. 26)</p> <p style="text-align: justify;">In der Originalquelle nachlesen: <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO </a></p> <p style="text-align: justify;">
Verantwortliche
Zur Erfüllung der EU-DSGVO sind nach der neuen Verordnung »sämtliche natürliche und juristische Person« sowie Behörden oder Einrichtungen verpflichtet, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel einer Datenverarbeitung entscheiden. Hieraus folgt, dass jede Tochtergesellschaft in einem Konzern als separate Einheit zu betrachten ist und daher Entscheider von Tochtergesellschaften nun auch verantwortlich für Datenschutz sind. Haftung im Datenschutz ist somit nicht alleine ein Thema der Holdingfirma. Des Weiteren wird eine Delegation der Haftung durch z.B. Outsourcing an Dienstleister (z.B. Cloud-Betreiber) mit erheblichen Auflagen und Einschränkungen versehen, die eine wirksame Enthaftung beschränken. Künftig ist sowohl eine sorgsame und fachmännische Auswahl eines Dienstleisters nachzuweisen, adäquates Risikomanagement und Controlling des Dienstleisters sowie juristisch klar abgegrenzte Aufgaben- und Haftungsbereiche im Datenschutz.
(Auszug aus Datenschutzverordnung) </p> <p style="text-align: justify;">Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (Artikel 1 Abs. 7 Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die - insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen - hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen - auch für die Sicherheit der Verarbeitung - getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen (Artikel 1 Abs. 81)</p> <p style="text-align: justify;">In der Originalquelle nachlesen: <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO</a></p> <p style="text-align: justify;">
Verarbeitung
»Jegliche Handlung«, die sich auf personenbezogene Daten bezieht, ist als Verarbeitung anzusehen. Aus juristischer Sicht kommt künftig der Beurteilung des Vorgangs (Speicherung, Weiterleitung, Nutzung etc.) keine wesentliche Bedeutung mehr zu, sodass alles als Verarbeitung zählt. Eine sehr weite Definition, die eine Vielzahl an Tätigkeiten in den Rechtsraum der EU-DSGVO verschiebt.
(Auszug aus Datenschutzverordnung) </p> <p>"Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. (Artikel 4 Abs. 2)</p> <p style="text-align: justify;">In der Originalquelle nachlesen: <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO </a></p> <p style="text-align: justify;">
2.1. Erweiterte Pflichten der EU-DSGVO
Neben einer Schärfung der Begrifflichkeiten sind eine Reihe an Änderungen zu berücksichtigen. So statuiert die EU-DSGVO erweiterte Pflichten der Unternehmen in Bezug auf die Verarbeitung (beachten Sie die oben aufgeführte „weite Definition“) der Kundendaten. Diese sind auszugsweise:
Transparenzpflicht
Eine betroffene Person hat ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten. Dieses Recht muss ohne große Hürden und in angemessenen Abständen wahrgenommen werden können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.
Kopplungsverbot
Künftig ist direkt im Datenschutz (EU-DSGVO) ein Kopplungsverbot verankert. Als Beispiel ist ein Onlinehändler denkbar, der in den Bestellprozess die Einwilligung zur Verwendung der Daten für Werbezwecke zwingend integriert. Diese „Kopplung“ ist mit EU-DSGVO kritisch zu sehen, besteht doch künftig das Rechtsrisiko hier im Falle einer strengen Auslegung der Aufsichtsbehörden sanktioniert zu werden. Ergänzend sei hier jedoch angefügt, dass sich das konkrete Verständnis aufgrund einer gewissen Uneindeutigkeit der Verordnung durch die Rechtsprechung herausbilden muss.
Portabilität
Es gibt eine neue Portabilitätsverpflichtung für Daten, die der Betroffene selbst zur Verfügung gestellt hat. Diese müssen in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden. Auch hierdurch werden völlig neue Anforderungen an IT-Architekturen gestellt.
Dokumentations- und Berichtspflichten
Ausweitung der Meldepflicht binnen 72 Stunden bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall, der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt. Dabei sind zudem die (Mindest-) Anforderungen an den Inhalt einer solchen Meldung (siehe Art.33 Abs. 3 DSGVO) zu beachten. Die Anforderungen an datenverarbeitende Unternehmen wurden in diesem Bezug, im Verhältnis zum Bundesdatenschutzgesetz, also deutlich verschärft. So entfällt künftig die bisherige Einschränkung auf „sensible“ Daten. Um grundsätzlich Rechtssicherheit herzustellen, sollten Unternehmen interne Richtlinien und Verfahren entwickeln, die eine unverzügliche Meldung aller Datenschutzverstöße gewährleisten. Bei Überschreiten der 72 Stunden sind Bußgelder, nur im Falle einer stichfesten Begründung vermeidbar.
Löschpflicht
Die Löschpflicht wird erweitert. So sind Daten, die nicht mehr benötigt werden, zu löschen. Eine große Herausforderung für eine Vielzahl an Systemen, da eine Funktion des automatischen Löschens häufig nicht integriert wurde. Zudem soll die Privatsphäre im Internet mit dem „Recht auf Vergessenwerden“ deutlich geschützt werden. (Hierzu finden Sie weitere Informationen in Artikel 17)
2.2 Sanktionen und Ihre Haftungsrisiken als Entscheider
Schließlich und für Unternehmen von hoher Relevanz sind die empfindlich verschärften Sanktionsinstrumente der Aufsichtsbehörden, sollen diese doch letztlich Europäische Behörden in die Lage versetzen selbst den Internetgiganten (u.a. Google, Facebook, Apple, Amazon & Co.) mit empfindlichen Bußgeldern zur Compliance bewegen zu können. So gilt künftig bei Verstößen gegen die Bestimmungen der EU-DSGVO, dass Geldbußen von bis zu 4% des weltweiten Jahresumsatzes oder maximal 20 Mio. EUR drohen. Als Basis dient der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person. Auch wird interessant zu beobachten sein, wie die Aufsichtsbehörden mit der Auflage der "Verhältnismäßigkeit" und "Abschreckung" in Artikel 83 Abs. 1 der EU-DSGVO:
"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist"
umgehen.
Das Bayerisches Landesamt für Datenschutzaufsicht hat bspw. in einem Kurzpapier folgendes verlauten lassen:
Ausblick zu drohenden Bußgeldern: "Aus den Sanktionsvorschriften der DSGVO spricht der deutliche Wille des Gesetzgebers, Datenschutzverstöße konsequent und bei Bedarf auch empfindlich zu ahnden. Dies ist ein deutliches Signal, dass sich eine Inkaufnahme von Datenschutzverstößen nicht lohnt. Unternehmen müssen den Datenschutz daher zwangsläufig noch mehr als bisher in den Fokus ihrer eigenen Aufmerksamkeit nehmen."
Rechtsexperten sehen hier erhebliche Risiken gerade auf Startups und den Mittelstand zukommen, da sich deren Strafmaß im Zweifel im Verhältnis mit oben genannten Internetgiganten bewegen muss.
Die EU-DSGVO stellt daher auch für die Versicherungswirtschaft eine große Herausforderung dar, wird doch mit einer erheblichen Zunahme an Schadenszenarien mit erheblichen Schadenhöhen im Datenschutzumfeld zu rechnen sein. Entscheidern, die im Zweifel im deutschen Rechtssystem mit ihrem Privatvermögen haften (siehe hier "Warum eine D&O-Versicherung sinnvoll ist"), ist daher, schon aus Eigeninteresse, dringend die entsprechende Aufstellung des Risikomanagements in Bezug auf Cyber & Data Security anzuraten. Denn analog anderer Themen des Risikomanagements sind Entscheider (Vorstand, Geschäftsführer, Manager) für die Einhaltung verantwortlich und haften hierfür im Zweifel unbegrenzt mit dem Privatvermögen. Dies gilt nun auch verstärkt für Entscheider von Tochterunternehmen in großen Holdingstrukturen. Hier gilt es o.g. Punkt 1.3 „Verantwortlicher" im Hinterkopf zu behalten, gemäß dem jede juristische Person individuell betrachtet wird und daher keine automatische Delegation der Verantwortung an die Holding stattfindet. Hieraus sollte sowohl ein stärkeres Interesse an den Risikomanagementmaßnahmen im eigenen Tochterunternehmen resultieren, also auch den Risikotransfer durch Versicherungslösungen stärker zu kontrollieren bzw. in die eigenen Hände zu nehmen.
Schadenersatzansprüche, Bußgeldvorschriften und Strafrechtlicher Verfolungsrahmen
Übersicht (hier klicken) </p> <p><strong><u>Schadenersatzansprüche</u></strong></p> <p style="text-align: justify;">Schadenersatzansprüche bemessen sich nach dem Art. 82 EU-DSGVO. Ersatzfähig sind sowohl materieller als auch immaterielle Schäden. Verantwortliche und Auftragsverarbeiter sind Haftende im Sinne der EU-DSGVO. Es besteht jedoch eine Möglichkeit zur Befreiung von der Haftung für beide, wenn sie den Schaden nicht zu vertreten haben. (Siehe hierzu unter "<span>2.2. Erweiterte Pflichten der EU-DSGVO:"</span><em> "Dokumentations- und Berichtspflichten"</em> sowie <em>"Beweilastumkehr"</em>)</p> <p><strong><u>Bußgeldvorschriften</u></strong></p> <ol> <li style="text-align: justify;">Bei <strong>Verstößen</strong> gegen die in Art. 83 Abs. 4 (a-c) EU-DSGVO aufgezählten Pflichten können Bußgelder in Höhe von bis zu <strong>10.000.000,00 EUR</strong> verhängt werden. Handelt es sich um ein Unternehmen, kann die Geldbuße in Höhe von bis zu <strong>2% des weltweiten Jahresumsatzes</strong> des vorangegangenen Geschäftsjahres liegen.</li> <li style="text-align: justify;">Kommt es zu <strong>Verstößen</strong>, die in Art. 83 Abs. 5 (a-e) EU-DSGVO benannt sind, kann die Geldbuße bei bis zu <strong>20.000.000,00 EUR</strong> liegen. Handelt es sich um ein Unternehmen, kann die Geldbuße bei bis zu <strong>4% des weltweit erzielten Jahresumsatzes</strong> des vorangegangenen Geschäftsjahres liegen.</li> <li style="text-align: justify;">Bei <strong>Nichtbefolgung einer Anweisung der Aufsichtsbehörde</strong> im Sinne des Art. 58 EU-DSGVO kann eine Geldbuße in Höhe von bis zu 20.000.000,00 EUR verhängt werden. Handelt es sich um ein Unternehmen, kann die Geldbuße bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Kalenderjahres betragen, Art. 83 Abs. 6 EU-DSGVO.</li> </ol> <p><strong><u>Strafvorschriften</u></strong></p> <p style="text-align: justify;">Die aktuelle Rechtslage bemisst sich nach Art. 84 EU-DSGVO i.V.m. <a href="https://www.datenschutz-wiki.de/BDSG:§_42">§ 42 BDSG</a>. Mit Freiheitsstrafe <strong>von bis zu 3 Jahren</strong> oder <strong>mit Geldstrafe</strong> wird bestraft, wer die in <a href="https://www.datenschutz-wiki.de/BDSG:§_42">§ 42 Abs. 1 Nr. 1-2 BDSG</a> aufgeführten Straftatbestände zu verantworten hat. Mit Freiheitsstrafe von bis zu 2 Jahren oder mit Geldstrafe wird bestraft, wer die in<a href="https://www.datenschutz-wiki.de/BDSG:§_42"> § 42 Abs. 2 Nr. 1 und 2 BDSG</a> verwirklicht.</p> <p style="text-align: justify;">In den <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO</a> nachlesen</p> <p style="text-align: justify;">
3. Empfehlungen und Fazit
Aufgrund der neuen Anforderungen und der schärferen Sanktionen ist daher eine (erstmalige) intensive Überprüfung der eigenen Prozesse in Bezug auf Datensicherheit geboten. Hierbei ist insbesondere darauf zu achten, dass die Verantwortlichkeiten und Zuständigkeiten der Datenverarbeitung inner- und außerbetrieblich unmissverständlich und jederzeit nachvollziehbar strukturiert sind. Nur so ist das Kriterium der jederzeitigen Nachweisbarkeit rechtskonformer Datenverarbeitung zu erfüllen.
Auch sind fachliche Kenntnisse und Ressourcen im Unternehmen, aber auch bei Dienstleistern zu überprüfen und kritisch bzgl. der Anforderungen zu hinterfragen. Hier ist je nach Ergebnis mittels Training, Rekrutierung oder Auswahl anderer Dienstleister zu reagieren.
Vertragswerke sind zu sichten und auf die Anforderungen der EU-DSGVO anzupassen. So ist eine Anforderung der EU-DSGVO bei der Zusammenarbeit mit Dienstleistern die Aufteilung der Pflichten klar zu benennen. Ist dies nicht erfolgt, so kann das Unternehmen, aber letztendlich auch der Entscheider, für Strafen in Haftung genommen werden, die operativ eigentlich dem Wirkungsfeld des Dienstleisters zuzuordnen sind. Hier gilt, kein Aufwand, ohne Chancen. Im Zuge der notwendigen Vertragsanpassungen und -neugestaltungen ergeben sich Synergieeffekte mit einer Überprüfung und Anpassung der Einkaufskonditionen und Lieferbedingungen. Kosten aus entstandenem Aufwand aus den Vertragsanpassungen durch die EU-DSGVO können bei ausreichendem Potential sogar durch die Optimierung der Einkaufsverträge finanziert werden, wie die Einkaufsexperten von OCM Management Consultants in einem Fachbeitrag darlegen.
Gleiches gilt für die hard- und softwareseitige Dimension (IT-Sicherheit). Neben der automatischen Löschfähigkeit ist auch im Falle einer Anfrage durch Behörden bzw. berechtigte Stellen die Voraussetzungen zu schaffen, unverzüglich und vollständig Auskunft zu personenbezogenen Daten geben zu können. Wo dies technisch noch nicht möglich ist, sollte bis zum Inkrafttreten der EU-DSGVO nachgebessert werden. Gleiches gilt für adäquate Sicherheitsmaßnahmen, um Daten der Kunden entsprechend zu schützen und hier nicht grob fahrlässig zu handeln.
Darüber hinaus sollte die Überprüfung des Risikotransfers Teil der Umsetzungsstrategie EU-DSGVO des Unternehmens sowie nun auch der Entscheidungsträger von Tochterunternehmen sein. Hier gilt es ein zugeschnittenes DSGVO-Versicherungskonzept aus (IT-Haftpflicht-, Cyber-, Vertrauensschaden, Strachrechtschutz-- und D&O Versicherung sowie den derzeit in Diskussion befindlichen "Datenschutz Versicherung") vorzuhalten, um Risiken von der Bilanz des Unternehmens, aber auch der Privathaftung des Geschäftsführers oder Vorstands zu nehmen (ggf. ergänzt um eine Persönliche D&O-Versicherung). Welche Kombination an Versicherungslösung von welchen Versicherungen für Ihr Risiko richtig ist, muss Ihr Versicherungsmakler beantworten (Praxisanmerkung: in unseren DSGVO-Projekten ist es in der Regel ein Mix aus 2-3 Lösungen). Wichtig, prüfen Sie inwiefern sich dieser mit der DSGVO beschäftigen konnte, um dieses Thema in "guten Händen" zu wissen. Darüber hinaus sind wesentliche Aspekte kontinuierlich auf den Prüfstand zu stellen, z.B. wie ist der Umgang in der jeweiligen Sparte mit Sanktionen und Bußgeldern ausgestaltet. Hier ist mit Blick auf die Höhe möglicher Bußgelder in Verbindung mit der Einführung der EU-DSGVO mit erheblichen Anpassungen und Produktveränderungen im Markt zu rechnen, sodass Entscheider zeitnah ihr Versicherungsportfolio kritisch überprüfen sollten.
5. Ihre EU-DSGVO-Experten

Herr Rechtsanwalt Dr. Lutz Martin Keppeler arbeitet bei Heuking Kühl Lüer Wojtek in Köln als Fachanwalt für Informationstechnologierecht. Er berät Mandanten zu allen Fragen des IT- und Datenschutzrechts und ist in diesen Bereichen sowohl außergerichtlich als auch forensisch tätig. Herr Dr. Keppeler arbeitet besonders intensiv an der Schnittelle zwischen Technik und Recht, woraus sich Spezialgebiete wie das IT-Sicherheitsrecht, das Open Source Lizenzrecht und das Datenschutzrecht ergeben. Zu allen genannten Bereichen hält Herr Dr. Keppeler regelmäßig Vorträge und publiziert hierzu.

Herr Rechtsanwalt Boris Prochazka verantwortet bei MRH Trowe den Fachbereich Cyber & Crime und zeichnet sich für MRH Trowes DSGVO-Versicherungskonzept mit seinem Team verantwortlich. Zudem berät Hr. Prochazka Key Accounts im Themenfeld Managerhaftung (D&O Versicherung) und entwickelt nationale und internationale Programme. Zu allen genannten Bereichen hält Herr Prochazka regelmäßig Vorträge und publiziert hierzu.
Sie haben noch Fragen? Bei Ihren Rechtsfragen hilft Ihnen - auch kurzfristig - Herr Dr. Lutz Martin Keppler (l.keppeler@heuking.de) gerne weiter. Für (auch kurzfristige) Fragen zu maßgeschneiderten DSGVO-Versicherungskonzepten (Stichwort: "DSGVO Versicherung") stehen Ihnen wiederum als unabhängiger Versicherungsmakler seitens MRH Trowe (zum Kontaktformular) gerne Rede und Antwort. Wir helfen Ihnen in der Regel innerhalb weniger Stunden und zeigen Optionen und Lösungen auf.