EU-Datenschutz-Grundverordnung (DSGVO): Neue Anforderungen für die Branche
Von: Christian JansenLetztes Update 15.11.2022 Lesezeit 4:00 Min.
Durch die neue EU-Datenschutz-Grundverordnung (DSGVO) kommen einige Änderungen und neue Anforderungen in Sachen Datenschutz auf Unternehmen zu. Für kleinere Anbieter von Kassensystemen könnte das fatale Folgen haben.
Am 25. Mai 2018 ist es soweit: dann endet die Frist zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO), die bereits am 25. Mai 2016 in Kraft gesetzt wurde. Die neuen Regelungen sind dann wirksam, weitere Aufschiebungsfristen werden nicht eingeräumt.
Von einer Änderung durch die EU-Datenschutz-Grundverordnung sind Anbieter von Kassensystemen besonders betroffen. Denn ab Mai werden nicht mehr nur diejenigen zur Verantwortung gezogen, die personenbezogene Daten erheben, sondern auch alle, die solche Daten weiterverarbeiten. Konkret für die Branche bedeutet das, dass nun nicht mehr nur die Gastronomen für die Einhaltung von Datenschutzbestimmung verantwortlich sind, sondern auch Anbieter von Kassensystemen, die die erhobenen Daten weiterverarbeiten.
Zwar gibt es für die Anbieter von Kassensystemen auch heute schon besonderen Compliance-Anforderungen, so zum Beispiel die digitale Betriebsprüfung durch das Finanzamt (GoBD). Durch die neue Datenschutzrichtlinie gilt es aber nun für IT Dienstleister, umfassendere Maßnahmen zum Datenschutz zu ergreifen. Das kann insbesondere bei älteren IT Produkten heißen, dass ganze Programmteile ausgetauscht und neue Tools eingeführt werden müssen, um die verschärften Vorgaben einhalten zu können. Maßnahmen, die natürlich Kosten verursachen, die aber in jedem Fall getroffen werden müssen, denn anderenfalls drohen hohe Strafen:
- Verstöße gegen Organisationsregeln: Bis zu zwei Prozent des Vorjahresumsatzes bzw. bis zu 10 Millionen Euro, je nachdem, welche Summe höher ist
- Verstöße gegen Zulässigkeit und Rechte von betroffenen Person: Bis zu vier Prozent des Vorjahresumsatzes bzw. bis zu 20 Millionen Euro, je nachdem welche Summe höher ist
Umsetzung der EU-Datenschutz-Grundverordnung bedroht kleine und mittlere IT Unternehmen
Branchenexperten schätzen, dass die Kosten für Umsetzung der Datenschutzrichtlinie für kleine und mittlere IT Unternehmen existenzbedrohlich werden können. Für die Umrüstung der Software und andere Maßnahmen können hier schnell sechsstellige Beträge zusammenkommen. Summen, die kleineren Betrieben nicht unbedingt kurzfristig für Investitionen zur Verfügung stehen. Und von denen gibt es in der Branche der Kassenanbieter viele. „In den letzten Jahren hat sich in unserem Markt ein buntes Potpourri mit vielen unterschiedlichen Anbietern entwickelt. Den wenigen großen Kassen-Anbietern stehen dutzende kleine und mittelgroße Unternehmen gegenüber, die mit mehr oder minder ausgefeilten Lösungen um die Gunst der Kunden in Hotellerie, Gastronomie und Handel buhlen“, fasst Artur Nadolski (Kaufmännischer Leiter Lightspeed) den Status quo zusammen.
Der Markt war bislang auch für kleine Firmen attraktiv, weil dem relativ geringen Aufwand für die Produktentwicklung hohe Margen gegenüberstanden. Wenn nun die Anforderungen an die IT Dienstleister steigen und hohe Kosten für die Produktentwicklung oder -überarbeitung entstehen, ist damit zu rechnen, dass nur noch die großen Kassenanbieter dem gerecht werden können. „Das ist eine enorme Herausforderung und wird viele Wettbewerber vom Markt fegen. (…) Kleine IT-Anbieter werden an der DSGVO zugrunde gehen.“ fürchtet Nadolski.
Vorbereitung auf die Änderungen durch die neue Datenschutzverordnung
Umso wichtiger ist für Unternehmen, die Zeit bis zum 25. Mai 2018 zu nutzen und sich mit den neuen Anforderungen für den Datenschutz in ihrem konkreten Fall auseinanderzusetzen. In einer Studie der International Data Corporation aus dem August 2017 gaben 44 Prozent der befragten deutschen Unternehmen an, noch keine Vorbereitungen für die Zeit nach der Einführung der EU-Datenschutz-Grundverordnung getroffen zu haben.
Diese Fragen sollten sich Unternehmen stellen, die mit automatisierter Datenverarbeitung und personenbezogenen Daten zu tun haben:
- Werden unsere Daten für einen spezifischen Zweck gespeichert? Ist sichergestellt, dass sie nur für diesen Zweck verwendet werden?
- Werden nur die notwendigen Daten gespeichert? Und werden diese auch nur so lange wie nötig für den jeweiligen Zweck gespeichert?
- Sind die Daten ausreichend gegen Missbrauch geschützt?
- Welche Prozesse sind erforderlich, um auf Anfrage Auskünfte über personenbezogenen Daten zu geben?
- Gibt es einen Prozess, um personenbezogene Daten auf Anforderung zu löschen?
- Welche Formen der Dokumentation sind erforderlich?
- Gibt es im Unternehmen einen Datenschutzbeauftragten (erforderlich ab 10 Mitarbeitern, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind)?
- Gibt es einen Plan für den Umfang der erforderlichen Maßnahmen und einen Zeitplan für die Umsetzung?
- Welche Haftungsrisiken gibt es (für Geschäftsführer, Mitarbeiter)?
- Welche Kosten kommen auf uns zu und gibt es ein entsprechendes Budget für die Umsetzung der Maßnahmen?
- Last but not least: Haben wir noch Informations- oder Beratungsbedarf?
Auf einen Blick: Wichtige Änderungen durch die EU-Datenschutz-Grundverordnung (DSGVO)
Accountability
Künftig sind Nachweise erforderlich, dass personenbezogene Daten nach der DGSVO verarbeitet werden, d.h. es gibt eine umfassendere Rechenschafts- und Dokumentationspflicht.
Datenschutz-Folgenabschätzung (DSFA)
Wenn durch die Verarbeitung von personenbezogenen Daten ein hohes Risiko besteht, dass Rechte und Freiheiten der Betroffenen eingeschränkt werden, müssen Unternehmen künftig schon vor Erhebung der Daten eine Datenschutz-Folgenabschätzung vornehmen. Diese Risikobewertungen müssen nachvollziehbar dokumentiert werden.
Löschpflichten
Unternehmen müssen künftig nicht nur unter bestimmten Voraussetzungen Daten auf ihren eigenen Systemen löschen, sondern auch Dritte über ein Löschbegehren („Recht auf Vergessenwerden“) informieren, die mit von ihnen erhobenen oder veröffentlichten Daten arbeiten.
Technische und organisatorische Maßnahmen
Die technisch-organisatorische Maßnahmen (TOMs) in Unternehmen müssen dem „Stand der Technik“ entsprechen. Wenn Schwachstellen bei der technisch-organisatorischen Datensicherheit auszumachen sind, drohen erhebliche Bußgelder: bis zu 10 Millionen Euro oder zwei Prozent des Vorjahresumsatzes.
„Privacy by Design“ und „Privacy by Default“
Datenschutz muss künftig ein integraler Bestandteil bei der Entwicklung von Produkten, Dienstleistungen und Anwendungen sein. Der optimale Datenschutz nach aktuellem Stand der Technik ist dabei nicht länger nur eine Option, die die Betroffenen erst einfordern oder aktivieren müssen.
Datenportabilität
Personenbezogene Daten müssen künftig auf Antrag in einem „gängigen und maschinenlesbaren“ Format übergeben oder direkt an ein anderes Unternehmen übermittelt werden können.
Höhere Bußgelder
Bisher lag der Maximalbetrag bei 300.000 Euro, nun können bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes fällig werden. Und wenn das betroffene Unternehmen zu einer Unternehmensgruppe oder einem Konzern gehört, wird bei der Bemessung des Bußgeldes der Jahresumsatz der gesamten Unternehmensgruppe oder des Konzerns zugrunde gelegt.
Datenschutzbeauftragter
Einen Datenschutzbeauftragten müssen alle Unternehmen benennen, in denen zehn oder mehr Personen mit automatisierter Verarbeitung beschäftigt sind. Wenn es sich um große Mengen oder besonders sensible Daten (z.B. Patientendaten handelt), kann künftig auch in kleineren Unternehmen ein Datenschutzbeauftragter erforderlich sein.
Zertifizierung
Die EU-DSGVO sieht für Verantwortliche die Möglichkeit vor, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen und so nachzuweisen, dass die Bestimmungen der EU-DSGVO vollumfänglich eingehalten werden. Eine solche Zertifizierung wird bei der Bemessung und Höhe von Bußgeldern eine wichtige Rolle spielen.
Auch interessant: