Wuermeling image risiko

Ulrich Wuermeling: Datenschutzverstöße werden künftig zum Image-Risiko für Unternehmen

Allgemein, Datenschutz News, Datenschutzkongress,

Der Vorsitzende des Datenschutzkongresses 2016, Prof. Dr. Ulrich Wuermeling, erklärt in diesem Interview, wie Datenschutzverstöße nicht nur finanzielle Strafen mit sich ziehen, sondern gleichermaßen einen Imageschaden für die betroffenen Unternehmen darstellen.

„Strafen wirken sich direkt auf Imagerisiken des Unternehmens aus, denn hohe Bußgelder verfehlen ihre öffentliche Wirkung nicht“

Interview mit dem Vorsitzenden des Datenschutzkongresses, Prof. Dr. Ulrich Wuermeling LL.M., Gastprofessor, Queen Mary University of London und Rechtsanwalt, Latham & Watkins LLP

Prof. Wuermeling, was sind nach Ihrer Ansicht die 5 wichtigsten Punkte, die im Zuge der Europäischen Datenschutzreform auf Unternehmen zukommen?

Prof. Wuermeling: Der erste Schritt ist die Aufsetzung eines Compliance Projektes, an dem die wichtigen Stakeholder im Unternehmen beteiligt sind. Außerdem sollte aktiv mit anderen Unternehmen darüber gesprochen werden, wie die neuen Vorschriften praxisgerecht umgesetzt werden können. Dazu dient unser Datenschutzkongress.
Das Compliance-Projekt darf nicht bis zum Wirksamwerden der Verordnung im Sommer 2018 aufgeschoben werden. Die bestehenden Geschäftsmodelle müssen kritisch überprüft werden. Besonders Anpassungen an Einwilligungen und Datenschutzinformationen müssen sobald wie möglich erfolgen, damit sie bis zum Stichtag etabliert sind. Langfristige Dienstleistungsverträge oder neue Projekte müssen bereits die geänderten Anforderungen an Auftragsverarbeitungsverträge erfüllen. Die aus meiner Sicht wichtigsten Themen für das Compliance-Projekt sind:
1. Prüfung der Rechtmäßigkeit bestehender oder geplanter Datenverarbeitungen unter der Verordnung sowie gegebenenfalls die Durchführung von Folgenabschätzungen.
2. Überarbeitung von Webseiten, Formularen und Datenschutzinformationen, um den Transparenzanforderungen der Verordnung zu genügen.
3. Anpassung von Auftragsverarbeitungsverträgen an die geänderten Anforderungen.
4. Einführung oder Änderung der internen Verfahrensabläufe und Richtlinien
5. Interne Schulung

Ein viel diskutiertes Thema ist die Regelung zum One-Stop Shop – was sind hierzu die wichtigsten Punkte aus Perspektive der Wirtschaft?

Wuermeling: Das Thema ist für alle Unternehmen wichtig, die in der Europäischen Union grenzüberschreitend tätig sind. Für sie wird eine führende Datenschutzbehörde zuständig sein. Welche das ist, können die Unternehmen in gewissem Umfang steuern. Darüber sollten Unternehmen strategisch nachdenken.

Stichwort Sanktionen: Welche Risiken sind künftig mit Datenschutzverstößen verbunden?

Wuermeling:  Unter der Verordnung können Bußgelder bis zu EUR 20 Millionen oder 4% des weltweiten Umsatzes eines Unternehmens verhängt werden. Die Bußgelder können auf das verantwortliche Management persönlich durchschlagen, wenn sie sich nicht sorgfältig um Datenschutz-Compliance kümmern. Die Strafen wirken sich direkt auf Imagerisiken des Unternehmens aus, denn hohe Bußgelder verfehlen ihre öffentliche Wirkung nicht. Dabei macht es die Verordnung den Verantwortlichen nicht einfach. Bürokratische, unklare und inkonsistente Vorschriften verbunden mit nachteiligen Beweislastregeln führen zu Verunsicherung. Häufig müssen schwierige Abwägungen zwischen geschäftlichen und datenschutzrechtlichen Interessen erfolgen. Hier ist es besonders wichtig, im Dialog mit anderen Unternehmen einen Marktstandard zu entwickeln.

Wie wird die Rolle der betrieblichen Datenschutzbeauftragten in Deutschland nach der Reform ausgestaltet sein und was erwarten Sie in Bezug auf die Vorschriften zur Bestellung betrieblicher Datenschutzbeauftragter?

 Wuermeling: Die Verordnung legt Kriterien für die Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten an, die erheblichen Auslegungsspielraum zulassen. In Deutschland soll es deshalb eine Sonderregelung nach den bisher hier geltenden Kriterien geben. Viele Unternehmen würden die Position des betrieblichen Datenschutzbeauftragten aber ohnehin beibehalten, selbst wenn sie nicht zu einer Bestellung verpflichtet wären. Es bedarf einer effektiven Kontrollinstanz im Unternehmen.

Beim internationalen Datentransfer befinden wir uns in einer besonders spannenden Zeit. Die politische Einigung über die europäische Datenschutzreform, das Urteil des Europäischen Gerichtshofs zu Safe Harbor – und der geplante Safe-Harbor Nachfolger „EU-US Privacy Shield“ prägen die Diskussion. Viele kritisieren den Entwurf und befürchten, dass er erneut vom Europäischen Gerichtshof kassiert werden könnte. Wie wird es weitergehen?

Wuermeling: Über 4000 Unternehmen haben in der Vergangenheit Safe Harbor für Datentransfers in die US verwendet. Nach dem Urteil des Europäischen Gerichtshof hat der Großteil von ihnen auf andere Verfahren umgeschwenkt, um angemessene Garantien für die Datenübermittlung zu gewährleisten. Vor allem Standardvertragsklauseln sind populär. Das Damoklesschwert des Europäischen Gerichtshof hängt jedoch über ihnen genauso wie über dem geplanten EU-US Privacy Shield. Im Grunde kann man nur regieren, wenn es wieder eine neue Entwicklungen gibt. Den Datentransfer in die USA wird aber niemand abschalten können.

Auch im Bereich IT-Sicherheit und Cybersecurity hat sich viel getan – es gab einerseits neue Gesetze wie das IT-Sicherheitsgesetz und auch europäische Gesetzesinitiativen, andererseits gab es einen Rekord von Hacker Angriffen, sogar der Bundestag wurde gehackt. Was sind Ihrer Meinung nach die wichtigsten Maßnahmen auf nationaler und EU-Ebene in den nächsten Jahren?

Wuermeling: IT-Sicherheit ist eine kritische Aufgabe für Unternehmen. Das gilt unabhängig davon, ob sie unter den Anwendungsbereich der neuen deutschen oder europäischen Sicherheitsgesetze fallen. Das Datenschutzrecht fordert von jedem Unternehmen angemessene Sicherheitsvorkehrungen. Es ist außerdem im ureigenen Interesse von jedem Unternehmen, IT-Systeme vor Angriffen zu schützen. Paradoxer Weise setzt hier das Datenschutzrecht Grenzen, weil eine effektive Überwachung von IT-Systemen auch die Verarbeitung von personenbezogenen Daten erforderlich macht. Im Dialog mit anderen Unternehmen lässt sich ermitteln, wie hier in der Praxis abgewogen werden sollte.

Sie lehren derzeit an der Queen Mary University of London Datenschutzrecht. Die Europäische Datenschutzreform spielt dabei eine große Rolle – wie erleben Sie den Umgang der Studenten in London, also der nächsten Generation von „Privacy Professionals“ mit dem Thema Datenschutz?

Wuermeling: Um mit der neuen Datenschutz-Grundverordnung umgehen zu können, müssen Unternehmen fachlich gut ausgebildetes Personal haben. Das ist im Datenschutzrecht nicht einfach zumal nicht jeder Jurist etwas vom Datenschutzrecht versteht. In einem Master-Studiengang qualifizieren sich deshalb die Studenten an meiner Universität weiter. Wichtig ist aber auch die wissenschaftliche Arbeit. In branchenspezifischen Projekten arbeiten wir daran, wie das neue europäische Datenschutzrecht in der Praxis umgesetzt werden kann. Teilweise wird dies von Unternehmen gefördert. Eine sehr spannende Arbeit. Am Queen Mary College arbeiten vier Professoren in der Forschung zum Datenschutzrecht. Das ist in Europa einmalig.

Datenschutz-Grundverordnung, Safe Harbor, WuermelingProf. Dr. Ulrich Wuermeling ist Gastprofessor an der Queen Mary University of London und Rechtsanwalt in der Kanzlei Latham & Watkins LLP. An der Queen Mary University of London lehrt und forscht er zum europäischen Datenschutzrecht. Als Anwalt berät er zum Datenschutzrecht und vertritt Mandanten in Datenschutzstreitigkeiten. Den Euroforum Datenschutzkongress moderiert Wuermeling seit der ersten Veranstaltung. An der Universität Würzburg hat Wuermeling zum Thema „Handelshemmnis Datenschutz?“ promoviert und ist Autor zahlreicher Veröffentlichungen zum Datenschutzrecht.

 

Melden Sie sich jetzt zum Datenschutzkongress an und diskutieren Sie mit dem DSK-Vorsitzenden Ulrich Wuermeling und zahlreichen anderen Datenschutz-Experten.

DSK16 – jetzt anmelden!