Wir sprachen mit Dr. Hans Markus Wulf, Fachanwalt für Informationstechnologierecht & Partner in der Kanzlei SKW Schwarz, über die ab dem 25. Mai 2018 geltende neue EU-Datenschutz-Grundverordnung (DSGVO). Sie ersetzt die seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Welche Folgen das für die Logistikbranche hat und welche Maßnahmen Unternehmen nun dringend ergreifen sollten, fragten wir Dr. Hans Markus Wulf.
Dr. Wulf, welche Auswirkungen hat die DSGVO auf Unternehmen der Logistikbranche? Was ändert sich im Vergleich zur Datenschutzrichtlinie?
Die Logistikbranche befindet sich derzeit im Wandel. Sie ist einerseits getrieben durch einen starken Preiswettbewerb, muss daher die eigenen Kostenstrukturen ständig optimieren. Andererseits hat sich die traditionelle Supply Chain in wesentlichen Teilen gewandelt, etwa durch Verlagerung der Massenproduktion zu einem Käufermarkt (Losgröße 1), was zunehmend individuelle Bestellvorgänge auslöst und eine Umstellung der fördertechnischen Systeme notwendig macht. Logistikunternehmen müssen aus meiner Sicht auf solche Veränderungen zwingend mit Digitalisierung und Vernetzung reagieren, um wettbewerbsfähig zu bleiben. Sowohl Digitalisierung als auch Vernetzung basieren jedoch auf Daten und hier kommt der Datenschutz ins Spiel.
Dr. Hans Markus Wulf, Fachanwalt für Informa-
tionstechnologierecht & Partner in der
Kanzlei SKW Schwarz.
Bisher wird der Datenschutz in der Logistikbranche häufig stiefmütterlich behandelt. Das liegt insbesondere daran, dass die Aufsichtsbehörden aufgrund personeller Probleme bislang nur sehr zögerlich Datenschutzverstöße aufdecken und noch zögerlicher solche nach Feststellung sanktionieren. Die neue EU-Datenschutz-Verordnung (DSGVO) regelt den Datenschutz in der Europäischen Union ab Mai 2018 komplett neu. Fortan können die EU-Mitgliedsstaaten nicht mehr auf Grundlage der EU-Richtlinie aus 1995 ihre eigenen Gesetze umsetzen (Umsetzungsgesetze ausgenommen), sondern die DSGVO gibt die Regeln vor, mit gleichem Inhalt in allen EU-Staaten.
Die Aufsichtsbehörden erhalten hierbei deutlich mehr Befugnisse und einen erheblich höheren Sanktionsrahmen (bislang Bußgelder bis EUR 300.000,-, ab Mai 2018 Bußgelder bis EUR 20 Mio. bzw. sogar bis zu 4% des weltweiten Konzernumsatzes). Zudem dreht sich die Beweislast: Nach Art. 5 der neuen DSGVO unterliegt jedes Unternehmen fortan einer „Rechenschaftspflicht“, es muss daher die Einhaltung des Datenschutzes aktiv durch Vorlage von Dokumenten beweisen, während die Behörde sich zurücklehnen kann. Es ist daher zu erwarten, dass sich die Aufsichtsbehörden ab 2018 deutlich aktiver aufstellen und häufiger hohe Bußgelder festsetzen werden. Genau das macht den Unterschied aus.
Was sollten Logistik-Unternehmen beachten? Welche Neuerungen tangieren die Branche am stärksten?
Unternehmen müssen fortan ein Datenschutz-Management-System aufsetzen. Alle heute vorhandenen Dokumente, IT-Richtlinien, Prozessbeschreibungen, Merkblätter, IT-Dienstleisterverträge, Mitarbeitervereinbarungen mit IT-Bezug, Einwilligungserklärungen, Datenschutzerklärungen etc. müssen überarbeitet bzw. neu erstellt werden, soweit noch nicht vorhanden. Infolge der neuen Rechenschaftspflicht müssen diese Dokumente im Falle eines spontanen Datenschutz-Audits der Aufsichtsbehörde jederzeit vorgelegt werden können.
Bei großen, mittelständischen Unternehmen verursacht dies regelmäßig einen Zeitaufwand von 10 bis 15 Monaten, zumal die einzelnen Fachabteilungen einbezogen werden müssen. Da die Dokumente jedoch schon im Mai 2018 vorliegen müssen, ist Eile geboten.
Inhaltlich sollten Logistik-Unternehmen insbesondere darauf achten, dass
- ein vollständiges Verfahrensverzeichnis (zukünftig „Verarbeitungsverzeichnis“) unter Benennung aller IT-Systeme und Datenstandorte sowie ein Datenschutzkonzept vorliegt,
- ein – bestenfalls schriftlicher – Vertrag nach den Anforderungen des neuen Art. 28 DSGVO mit jedem IT-Dienstleister geschlossen wird, der entweder personenbezogene Daten aus dem Unternehmen zur (theoretischen) Einsicht erhält (z.B. Cloudprovider) oder aber Zugriff auf die Systeme des Unternehmens hat (z.B. Wartungszugriff),
- ein Datenschutzbeauftragter bestellt wird, wenn mindestens 10 Mitarbeiter im Unternehmen personenbezogenen Daten verarbeiten, also z.B. mit Microsoft Outlook arbeiten,
- ein Verfahren zur Meldung von Datenschutzverstößen an die Behörden installiert wird, das technisch eine Meldung innerhalb von 72 Stunden nach Kenntnis gewährleistet,
- jede neue Softwareinstallation fortan vor Inbetriebnahme vom Datenschutzbeauftragten daraufhin überprüft wird, ob Risiken für die Betroffenen bestehen (Datenschutz-Folgenabschätzung),
- alle Datenschutzerklärungen (besonders online) überarbeitet werden, da sich die Informationspflichten erheblich verschärft haben (Art. 13 DSGVO)
- ein IT-Sicherheitskonzept in überarbeiteter Form vorliegt, das die neuen Vorgaben wie Belastbarkeit der Systeme, Datenübertragbarkeit, Privacy by Design, Privacy by Default, Recht auf Vergessen oder Pseudonymisierung/Verschlüsselung beschreibt und Handlungsvorgaben beinhaltet.
Wie haben sich die Unternehmen bisher auf die Änderungen vorbereitet? Wo sehen Sie Nachholbedarf?
Eine Studie der BITKOM aus September 2017 zeigt auf, dass sich erst 13% der befragten Unternehmen aktiv in der Umsetzungsphase befinden. Die Mehrzahl der Unternehmen befand sich im September noch in der Orientierungsphase. Ich rechne daher damit, dass im Mai 2018 nur wenige Unternehmen die neuen Anforderungen der DSGVO vollständig umgesetzt haben. Nachholbedarf besteht schlicht bei allen Themen. Viele, auch große Unternehmen, haben heute noch nicht einmal rechtskonforme Verträge zur Auftragsdatenverarbeitung mit ihren IT-Dienstleistern geschlossen, obwohl dies bereits seit 2009 in § 11 BDSG vorgeschrieben ist.
Können Unternehmen die Verordnung überhaupt noch rechtzeitig umsetzen, wenn Sie bisher noch nicht damit begonnen haben? Wenn ja, was sollten Ihrer Meinung nach die ersten Schritte sein?
Der Zeitrahmen ist eng. Aus meiner Sicht sollte der erste Schritt die Erstellung eines vollständigen Verarbeitungsverzeichnisses sein. Dieses wird von den Aufsichtsbehörden auch als erstes angefordert. Hier sind die einzelnen Verfahren (z.B. Personalverwaltung, Zeiterfassung, CRM) mit den eingesetzten Softwaresystemen aufgeführt unter Benennung der maßgeblichen Datenkategorien (Name, Anschrift, Funktion etc.), der eingesetzten Dienstleister mit Zugriff auf diese Systeme, des Standortes der Daten sowie der konkreten Löschfristen. Anhand dieses Verzeichnisses können dann leicht die weiteren Schritte zur Umsetzung der DSGVO geplant werden.
Sinnvoll ist zudem die Vornahme einer Status-Quo-Prüfung durch einen Datenschutzexperten, der bestenfalls nicht nur IT-Kenntnisse besitzt (wie viele Datenschutzberater), sondern auch nachweisbar über das juristische Verständnis verfügt. Ein solcher Status-Quo-Check verursacht zumeist nur einen Aufwand von einem Tag, so dass die Kosten sehr überschaubar sind. Das Unternehmen weiß jedoch am Ende sehr genau, was konkret zu tun ist. Auch wir bei SKW Schwarz bieten natürlich einen solchen Status-Quo-Check an.
Welche Konsequenzen drohen Unternehmen bei ausbleibender Umsetzung der Verordnung?
Die Aufsichtsbehörden können – wie oben erwähnt – ab Mai 2018 Bußgelder bis zu EUR 20 Mio. bzw. 4% des weltweiten Jahresumsatzes festsetzen. Allerdings ist damit zu rechnen, dass die tatsächlichen Bußgelder deutlich geringer ausfallen, soweit keine vorsätzliche Begehungsweise vorliegt. Stellen die Behörden allerdings fest, dass das geprüfte Unternehmen absichtlich die Umsetzung der Datenschutzvorgaben verschleppt haben, so wird sich dies sehr sicher deutlich bußgelderhöhend auswirken.
Für weitere Fragen können Sie Dr. Wulf direkt hier kontaktieren.