AG: Ziel der DSGVO ist die Neuregulierung von Datenschutzverletzungen durch Unternehmen, die Erhöhung der Transparenz und der bessere Schutz von Einzelpersonen. Es wird eine einheitliche und harmonisierte EU-Datenschutz-Gesetzgebung eingeführt. Wir gehen davon aus, dass 99 Prozent der Firmen die Vorschriften der DSGVO ab dem 25. Mai 2018 einhalten müssen, weil es eine sehr umfassende Gesetzgebung ist.

VFH: Die DSGVO gilt für innerhalb der EU ansässige Firmen, deren Geschäftstätigkeit sich auf das Gebiet der EU erstreckt, sowie für Firmen, die zwar außerhalb der EU ansässig sind, aber ihre Waren oder Dienstleistungen natürlichen Personen innerhalb der EU anbieten und deren Daten sammeln. Im Unterschied zur bisherigen Datenschutzgesetzgebung in der EU gilt die DSGVO nunmehr direkt und unmittelbar in den Mitgliedstaaten der EU. Das heißt, dass sie die Mitgliedstaaten nicht als eigenes nationales Recht zu ratifizieren brauchen, die Einhaltung der Vorschriften wird automatisch ab dem 25. Mai 2018 obligatorisch. Für die Durchsetzung sind die Datenschutzbehörden der einzelnen EU-Mitgliedstaaten – in Ungarn die NAIH – zuständig. Diese werden auf nationaler Ebene eine breite Kompetenz haben, um sogar noch strengere Anforderungen durchzusetzen. So müssen etwa in Ungarn über die DSGVO hinaus auch das ungarische Datenschutzgesetz sowie die strengen Richtlinien und Beschlüsse der Ungarischen Datenschutzbehörde (NAIH) eingehalten werden. Falls die Vorschriften der DSGVO von der Konzernleitung einer Firmengruppe außerhalb Ungarns konzernweit umgesetzt werden, müssen dennoch auch die besonderen ungarischen Datenschutzvorschriften auf der Seite der lokalen Tochtergesellschaft von unten nach oben berücksichtigt werden.

Gibt es eine Übergangszeit für die Anpassungen an die neue Situation? Wie hoch können Bußgelder bei Verletzungen sein?

VFH: Die DSGVO tritt am 25. Mai in Kraft, das heißt, dass die Firmen, die mit der Anpassung an die DSGVO-Forderungen noch nicht angefangen haben, nur noch wenig Zeit haben. Danach können die Sanktionen für entdeckte Mängel extrem hoch sein. Sie können bis zu 20.000.000 Euro oder 4 Prozent des globalen Umsatzes betragen. Außerdem kann dadurch das Firmenimage beschädigt werden. Die neue DSGVO wird dazu führen, dass die nationalen Datenschutzbehörden Verfahren anstrengen werden. Möglich ist auch, dass bei einer kleineren festgestellten Verletzung bei irgendeiner Organisation bewusst ein Exempel statuiert wird. Wir empfehlen daher nachdrücklich, im angebrochenen neuen Jahr keine Zeit zu verlieren und die eigene Organisation schrittweise an die neuen Anforderungen anzupassen.

AG: Die Umstellung kann nicht auf einen Schlag erfolgen. Besonders große Organisationen sollten wegen der immensen Zahl der Daten, Datenplätze und Datenquellen ausreichend Zeit einplanen. Es kann nicht vorhergesagt werden, wie rasch und wie streng die NAIH nach dem 25. Mai festgestellte Verstöße ahnden wird, aber diese Behörde ist bekannt für ihren eher strengen Kurs bezüglich der Durchsetzung von der Datenschutzbestimmungen. Die Behörde hat im letzten Jahr durchsickern lassen, dass sie die Zahl der Kontrolleure und Sachbearbeiter erheblich aufstocken wird. Nach unseren Erfahrungen sollten man also lieber nicht auf eine besondere Milde oder Kulanz in der Anfangszeit vertrauen.

Welche Schritte sollten die Organisationen also schleunigst in Angriff nehmen?

AG: Zum Schutz der persönlichen Informationen von Einzelpersonen müssen Firmen und Firmengruppen zunächst einmal fähig sein, zu identifizieren, welche Arten an Daten, wo und wie lange gespeichert und verarbeitet sind und welche Prozesse zur Sicherung der Rechte von Einzelpersonen global im ganzen System vorhanden sind. In der Praxis kommt es häufig vor, dass sich unterschiedliche Abteilungen oft nicht untereinander informieren oder kein genaues Register über die Art der gesammelten personenbezogenen Daten besitzen. Deswegen kann der mit einer Einzelperson verbundene Datenverkehr oft nicht genau nachverfolgt werden. Die DSGVO verlangt ein System, das ermöglicht, alle personenbezogenen Daten in dem System zu finden und bedarfsweise ganz sicher an allen Speicherplätzen zu löschen.

VFH: Am Anfang sollte erst einmal eine Bestandsaufnahme unter Einbeziehung von juristischen Experten stehen. Bei großen multinationalen Firmengruppen können die personenbezogenen Daten in irgendwelchen Dokumenten bei irgendwelchen Abteilungen auftauchen. Deswegen muss die gesamte Datenbank der Organisation kontrolliert werden. Nach der Bestandaufnahme können die nächsten technischen und rechtlichen Schritte unternommen werden. Unter anderem sollten die Bestellung eines Datenschutzbeauftragten (DPO), die entsprechende Ausbildung der Arbeitnehmer und die Einrichtung eines neuen IP-Systems erfolgen.

Dr. Veronika Francis-Hegedűs: „Am Anfang sollte erst einmal eine Bestandsaufnahme stehen.“

Was ist neu bei der DSGVO?

AG: Binnen sechs Monaten wird sich das alte Datenschutzregime von Anfang der ‘90er Jahren wesentlich wandeln. Die DSGVO wird die Datenschutzrichtlinie von 1995 ersetzen. Es wird dahingehend Änderungen geben, wie die Unternehmen und öffentlichen Organisationen die Informationen von Kunden und Arbeitnehmern handhaben können. Die DSGVO stellt jedoch eine Entwicklung und keine Revolution dar. Es kann durchaus Organisationen geben, deren Datenmanagement, also etwa die Zugriffsrechte oder die Datenverwaltung schon jetzt kompatibel mit den neuen Richtlinien sind.

VFH: Die DSGVO erneuert bereits existierende Rechte und verstärkt sie inhaltlich. So etwa das Recht auf endgültige Datenlöschung oder gewisse Aspekte der Datenübertragung. Außerdem werden neue Rechtgründe eingeführt, so etwa das „berechtigte Interesse“. Ebenso wird die Verwaltung und Dokumentation der Zustimmung von Betroffenen neu geregelt. Wichtig ist auch die Bestellung von entsprechend ausgebildeten DPOs. Immerhin obliegen ihnen die Kontrolle der Einhaltung der Datenschutzbestimmungen und die Feststellung von möglichen Verletzungen.

Welche Tipps haben Sie an Geschäftsführer?

VFH: Mit Rücksicht darauf, dass wir keine Kristallkugel haben, schlagen wir den Organisationen und ihre Geschäftsführern vor, unverzüglich mit der Bewertung der DSGVO-Situation und mit den entsprechenden Anpassungsprozessen in der ganzen Firmengruppe anzufangen und einen Zeitplan mit den einzelnen Maßnahmen zu definieren. Der von der Spitze der Organisation begonnene Bewertungsprozess muss dabei zusammen mit der lokalen, ungarischen Ebene ausgeführt werden.

AG: Unseren Erfahrungen nach ist das Bewusstsein der Manager außerhalb von IT-Abteilungen für die Herausforderungen und Risiken der neuen Situation bisher eher suboptimal. Das kann im Jahresverlauf bei vielen Unternehmen zu größeren Problemen führen. Die Anpassungen an die neuen DSGVO-Vorschriften sollten aber nicht unterschätzt werden. Es handelt sich stellenweise um einen komplizierten Prozess, der viel Nachdenken und fundierte Entscheidungen verlangt. Um möglichen Schaden von ihrem Unternehmen abzuwenden und einen reibungslosen Übergang zu ermöglichen, sollten die verantwortlichen Manager rechtzeitig die notwendigen finanziellen und zeitlichen Ressourcen einplanen und zur Verfügung stellen.