Sie ist in aller Munde, die neue Datenschutz-Grundverordnung, kurz DSGVO, die alles, was das Thema Datenschutz betrifft, künftig viel gefährlicher machen soll. Was ist dran an dieser aufgeregten Atmosphäre? Richtig ist auf jeden Fall, dass kein Unternehmen die neuen Vorschriften auf die leichte Schulter nehmen sollte. Denn es gibt nicht nur einfach Änderungen, sondern es gibt tatsächlich auch zahlreiche Verschärfungen des Datenschutzes, und Erweiterungen der Sanktionsmöglichkeiten gegenüber Verstößen.
Eine EU-Verordnung als unmittelbar geltendes Gesetz
Die Datenschutz-Grundverordnung ist eine EU-Verordnung, die unmittelbar in jedem Mitgliedstaat gilt, die also nicht erst durch nationales Recht umgesetzt werden muss. An einigen wenigen Stellen ermöglicht die DSGVO durch so genannte Öffnungsklauseln, dass die Mitgliedstaaten bestimmte Dinge individuell regeln können. Im wesentlichen aber ist fortan die europäische Verordnung das allein relevante Gesetz, welches den der Datenschutz in Europa, aber auch in jedem einzelnen EU-Staat, regelt.
Nahezu globale Bedeutung der neuen Datenschutz-Grundverordnung
Und es kommt zukünftig beim Thema Datenschutz nicht mehr darauf an, wo ein eventuell die Daten eines Unternehmens verarbeitender Server steht, sondern darauf, wo das Unternehmen seine Niederlassung hat. Eine Flucht in die Cloud gibt es dann nicht mehr. Zudem gilt die DSGVO auch dort, wo Dienstleistungen oder Waren eines Unternehmens angeboten werden. Das führt dazu, dass die Vorschriften der Datenschutz-Grundverordnung weit über in Europa ansässige Unternehmen hinaus Bedeutung haben wird.
Erweiterte Dokumentations- und Nachweispflichten
Zu den wesentlichen Veränderungen gehören die deutlich erweiterten und in vielen Punkten völlig neu eingeführten Dokumentations- und Nachweispflichten für Unternehmen hinsichtlich der Sicherstellung und der Einhaltung der Datenschutzvorgaben. Es reicht also nicht, Datenschutz in dem vorgeschriebenen Umfang sicherzustellen, sondern die dazu im Unternehmen implementierten Prozesse und Tools müssen transparent sein und den Nachweis der Einhaltung ermöglichen. Neben diesen Nachweis- und Dokumentationspflichten ergeben sich zu Gunsten der Betroffenen umfangreichere Auskunftspflichten hinsichtlich Inhalt, Dauer, und Zweck der gespeicherten Daten.
Schärfere Sanktionen und erweiterte Haftung der Verantwortlichen
Neben diesen neuen Strukturen im Datenschutzrecht ergeben sich zudem Verschärfungen in Form deutlich höhere Bußgelder, und in Form einer deutlich erweiterten Haftung der Verantwortlichen einschließlich Schadensersatz nicht nur für materielle, sondern auch gerade für immaterielle Schäden der Betroffenen.
Umfassende Analyse aller datenschutzrelevanten Prozesse
Jedes Unternehmen muss daher rechtzeitig vor dem von 25. Mai 2018, an dem die Verordnung endgültig in Kraft tritt, seine gesamten Strukturen und Prozesse analysieren und durchleuchten im Hinblick auf den bisherigen Umgang mit Daten, und im Hinblick auf künftig neu notwendig werdende Prozesse und Maßnahmen.
Notwendigkeit der Revision aller Vertragsformulare im Unternehmen
Sensible Daten sind nicht nur Daten der Kunden eines Unternehmens, sondern auch Daten von Geschäftspartnern, Daten der Mitarbeiter, kurz sämtlicher Personen, mit denen ein Unternehmen in Kontakt gerät. Daher wirken sich die neuen Vorschriften ebenfalls aus auf die Gestaltung jeglicher Art von Verträgen, die ein Unternehmen mit anderen Personen abschließt. Dies gilt besonders natürlich auch für Arbeitsverträge, die hinsichtlich des Datenschutzes entsprechende Geheimhaltungsvereinbarungen enthalten müssen.
Franchisegeber als Verantwortlicher für seine Franchisenehmer
Ist ein Franchisegeber zunächst auch ein ganz normales Unternehmen, welches sich im Hinblick auf die eigenen Kunden, Arbeitnehmer und andere Beteiligte seiner datenschutzrelevanten Prozesse bewusst werden muss, so spielt das Thema Datenschutz in einem Franchisesystem natürlich auch im Hinblick auf die unternehmerische Selbstständigkeit der Franchisenehmer eine große Rolle. Zwar ist der einzelne Franchisenehmer selbst für die Einhaltung des Datenschutzes verantwortlich und daher gehalten, sich ebenfalls in hinreichendem Maße auf die neuen Vorschriften einzustellen. Allerdings muss es im Interesse eines jeden Franchisegebers liegen, dass nicht nur das Franchisegeber-Unternehmen, sondern das ganze System einschließlich aller Franchisenehmer-Unternehmen datenschutzrechtlich sauber arbeitet. Dem Thema Datenschutz muss ab sofort ein deutlich prominenterer Platz im Rahmen von Schulungen, Fortbildungen, im Franchisehandbuch, und vor allem auch im Franchisevertrag selbst eingeräumt werden.
Franchisegeber und Franchisenehmer tragen Verantwortung als selbstständige Unternehmer
Nicht zu vergessen ist in diesem Zusammenhang der alte auch bei vielen etablierten Franchisegebern verbreitete Irrglaube, die Kundendaten und auch andere Daten, die von den Franchisenehmern erhoben werden, seien Daten des Franchisegebers. Gerade im Bereich Datenschutz zeigt sich wiederum der Ernstfall der Tatsache, dass Franchisegeber und Franchisenehmer jeweils selbstständige Unternehmer sind.
Das Vorstehende zeigt, dass das Inkrafttreten der Datenschutz-Grundverordnung keinen Anlass zur Panik geben sollte, dass jedoch mit dem Thema Datenschutz ab sofort noch deutlich weniger zu spaßen ist als bisher.