Von Folgeabschätzung bis Nachweispflicht
Neue EU-Datenschutzgrundverordnung in Kraft: was Chemie- und Pharmaunternehmen wissen müssen
Das Thema Datenschutz ist für alle Branchen von herausragender Bedeutung – speziell aber für die Branchen Chemie und Pharma. Gerade hier können Verstöße gegen das Datenschutzrecht zu einem kaum zu wiedergutmachenden Imageverlust und damit zu massiven Umsatzeinbußen führen. Die neue EU-Datenschutzgrundverordnung widmet sich dem Thema Datenschutz und ist seit Mai in Kraft. Für Unternehmen gibt es einiges zu wissen und zu beachten, damit Überraschungen ausbleiben, wenn die Verordnung verbindlich angewendet wird.
Vier Jahre lang heftig diskutiert und debattiert, wurde sie unlängst verabschiedet: Im April 2016 erfolgte die Zustimmung seitens EU-Rats und EU-Parlaments. Am 4. Mai 2016 wurde sie im Amtsblatt veröffentlicht. Die EU-Datenschutzgrundverordnung ist damit am 21. Mai 2016 in Kraft getreten und gilt ab 25. Mai 2018.
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der neuen Verordnung. Entsprechend heißt es in Artikel 91 „… Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung, verfügt die neue EU- DSGVO über eine „Durchgriffswirkung“.
Öffnungsklauseln für nationale Umsetzung
Zwei Jahre, bis 25. Mai 2018, haben die einzelnen Länder Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen gibt es Öffnungsklauseln, die es vor Inkrafttreten der EU-DSGVO zu regeln gilt. Die Liste reicht von Gesundheit und Forschung über den Beschäftigtendatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des zukünftigen EU-Datenschutzrechts für Unternehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen (im BDSG bisher die verantwortliche Stelle), zählt dazu.
Was ändert sich?
Mit der neuen Datenschutzverordnung schraubt die EU an einigen Stellen:
1. Bußgelder
Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Halten sich Unternehmen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden.
2. Haftung betrieblicher Datenschutzbeauftragter
Eine Bestellpflicht besteht künftig, wenn die Bedingungen gegeben sind. Da eine nationale Öffnungsklausel existiert, wird Deutschland vermutlich § 4f BDSG übernehmen. Zu den bisherigen Aufgaben des Datenschutzbeauftragten – Sicherstellungs- und Hinwirkungsauftrag – wird jedoch ein Überwachungsauftrag hinzukommen. Die EU-DSGVO verlangt zukünftig die Überwachung, dass alle Vorgaben und Regeln eingehalten werden. In der Konsequenz haften Unternehmer und Datenschutzbeauftragte nun auch persönlich.
3. Nachweispflicht und Unterrichtung
Unternehmen müssen, wie bisher auch, wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management wird notwendig. Des Weiteren müssen Unternehmen betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren.
4. Datenschutz-Folgeabschätzung
Neu ist die Pflicht zur Datenschutz-Folgeabschätzung. Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten, sollen so Grundrechtsverletzungen verhindert werden. Insbesondere für die Pharma- und Biotech-Industrie ist hier ein Mehraufwand absehbar. Wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat – und dies wird bei sensiblen bzw. Gesundheitsdaten i. d. R. der Fall sein -, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
Neue Rechte für betroffene Personen
Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die neue EU-Datenschutzgrundverordnung insbesondere die Rechte der betroffenen Personen stärkt.
1. Recht auf Löschung
An erster Stelle sei das „Recht auf Vergessenwerden“ genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen. Auch der Empfänger, an den ein Unternehmen Daten weitergegeben hat, muss über eine Löschung informiert werden.
2. Datenportabilität
Ein weiteres Recht stellt das „Recht auf Datenübertragbarkeit“, dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Für Unternehmen wird die Umsetzung dieser Regelung sicherlich aufwändig werden.
3. Beschäftigtendatenschutz
Für den Beschäftigtendatenschutz gibt es eine nationale Öffnungsklausel. Es ist davon auszugehen, dass § 32 BDSG „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ weitestgehend unverändert bleibt. Betriebsvereinbarungen sind weiterhin eine Alternative, setzen jedoch eine gute Zusammenarbeit mit dem Betriebsrat voraus. Firmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten: Z. B. sollen von vornherein nur so viele personenbezogene Daten gesammelt und verarbeitet werden, wie es zur Erreichung des Zweckes konkret notwendig ist. Wenn immer möglich, sind diese Daten zu pseudonymisieren.
Handlungsbedarf? Umsetzung früh angehen
Damit es im Mai 2018 kein böses Erwachen gibt, sollten speziell in Pharma- und Biotechnologie-Unternehmen die betrieblichen Vorarbeiten baldmöglichst anlaufen:
- Prüfen Sie, welche Systeme im Unternehmen von der neuen Gesetzgebung betroffen sind. Stichwort: Gesetzeskonformität des Datenschutz-Managementsystems.
- Wo steht Ihr Unternehmen jetzt und was ist wann zu tun, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden?
- Führen Sie eine Risikoanalyse durch. Welche Risiken und Gefährdungen drohen Ihrem Unternehmen?
- Planen Sie Ihre Ressourcen – sowohl im Hinblick auf Mitarbeiter als auch auf Umsetzungskosten.
- Erstellen Sie einen Plan. In größeren Unternehmen wird die Transformation auf die DSGVO eine große Herausforderung.
- Das neue Datenschutzgesetz sieht umfassende Rechenschafts- und Dokumentationspflichten vor. Überlegen Sie, wie und mit welchen Mitteln Sie dies zukünftig gewährleisten können.
Denn Datenschutz ist kein Produkt, Datenschutz ist ein Prozess! Unter diesem Aspekt betrachtet, werden auch in die Chemiebranche die Herausforderungen der neuen EU-DSGVO zu meistern sein.