LUXEMBURG
DO

Die neue Datenschutzgrundverordnung bedeutet eine große Umstellung für Unternehmen

Am 25. Mai wird es endlich so weit sein; nach rund anderthalb Jahren Vorbereitungsphase wird dann die neue Datenschutzgrundverordnung GDPR in Kraft treten. Das europäische Reglement bedeutet eine große Umstellung: Die Datenschutzbehörden wechseln von einer zertifizierenden Rolle hin zu einem Kontroll-Organ. Nutzer bekommen mit ihren neuen Rechten mehr Handhabe darüber, was mit ihren Daten passiert. Und für Unternehmen bedeutet es, viel mehr Verantwortung für die gespeicherten und bearbeiteten Daten zu übernehmen.

Das neue Reglement nimmt den Datenschutz von der administrativen Schiene und macht Betriebe verantwortlich. Die Verantwortung liegt jetzt beim Unternehmen nachzuweisen, dass ihr Geschäftsmodell den Regeln entspricht.

Das hat auch wirtschaftliche Vorteile: Es fördert die Innovation, weil sich neue Lösungen zur Konformität erst finden müssen. Fortan gilt dann auch eine gemeinsame Grundverordnung für alle EU-Mitglieder, statt 28 verschiedene Datenschutzregeln auf nationaler Ebene. Das bedeutet im Umkehrschluss für die Unternehmen: Einmal konform, überall konform. 

Lëtzebuerger Journal

Die Uhr tickt: Die nationale Umsetzung der Grundverordnung GDPR wird wohl noch dauern

 Mit Inkrafttreten der neuen Datenschutzgrundverordnung müssen die neuen Punkte des Reglements auch in nationales Recht umgesetzt werden. Das nimmt in Luxemburg die Gestalt von zwei Projekten an: Ein Gesetzesprojekt (7184) befasst sich mit den Befugnissen der nationalen Datenschutzkommission CNPD. Das zweite Projekt (7168) zum Datenschutz personenbezogener Daten komplettiert es.

Fundamentale Fragen

Beide Gesetzesprojekte sind hinterlegt, aber es hinge stark davon ab, wann der Staatsrat sein Einverständnis gebe, meint der Berichterstatter für beide Gesetzesprojekte, Eugène Berger. Im Fall des Projektes 7184 liegt seit dem 3. April ein Befund des Staatsrats vor, für das zweite Projekt bleibt dieser bislang aus.

„Die Spezialisten in den Ministerien sind jetzt schwer damit beschäftigt, beide Projekte auf die richtige Spur zu lenken“, betonte er. „Trotzdem wird es wohl knapp.“ Die größten Hürden bislang? „Wir mussten uns im Prozess der Ausarbeitung gleich mehrere fundamentale Fragen stellen“, erklärt er. „Etwa, ob es beim Gesetz der nationalen Datenschutzkommission nicht gereicht hätte, das bestehende Gesetz anzupassen.“ Problematisch sei auch die Frage nach der genauen Vorgehensweise bei Verstößen zu werten, wenn diese von öffentlichen Einrichtungen wie Gemeinden begangen werden. Laut Datenschutzgrundverordnung werden in diesem Fall bis zu vier Prozent des Jahresumsatzes als Bußgeld fällig. „Aber worauf würde das im Fall bemessen werden“, merkte Berger an.

Diese und weitere praktische Fragen müssen jetzt geklärt werden, bevor die Datenschutzgrundverordnung am 25. Mai endlich in Kraft tritt. Berger hofft, die Gesetze schnell auf den Instanzenweg bringen zu können. „Da müssen wir vielleicht eine oder zwei Sitzungen kurzfristig einberufen, um es schnell durchzukriegen“, meint er. Ein kommender Termin wird der 23. April sein. Sollte die Frist nicht ganz eingehalten werden können, sei das aber prinzipiell keine Katastrophe: „Die Datenschutzgrundverordnung appliziert sich ungeachtet von nationalem Gesetz sowieso“, betonte Berger. Die europäischen Vorgaben werden damit ohnehin verpflichtend. 

Lëtzebuerger Journal
„Die Leute beruhigen, aber auch klar machen, dass sie aktiv werden müssen“

Wie das Handwerk sich auch GDPR vorbereitet

 „Momentan besteht eine allgemeine Verunsicherung“, entgegnet Christian Reuter, der beigeordnete Generalsekretär der „Fédération des Artisans“ auf die Frage nach dem Vorbereitungsgrad der Branche auf die neue europäische Datenschutzgrundverordnung. An die möchte sich zwar jeder Betrieb schnellstmöglich anpassen, aber was das konkret bedeutet für kleine oder mittlere Unternehmen, die den Großteil der rund 7.000 Firmen zählenden Handwerksbranche ausmachen, das stehe auf einem anderen Blatt. Um das zu verdeutlichen, bietet der Dachverband der Handwerksinnungen seit mehreren Wochen Workshops zum Datenschutz an. „Wir nehmen da das Thema GDPR mal auseinander und brechen es runter auf die Praxis“, erklärt Reuter. „Es geht darum, die Leute zu beruhigen, ihnen aber auch klar zu machen, dass sie aktiv werden müssen und ihnen zu zeigen, wo sie ansetzen können“. 
Die Arbeit für die Umstellung könne auch eine „neue Qualität in den Arbeitsprozess“ bringen, meint Christian Reuter. Allerdings gehe es um mehr als das, um einen „Paradigmenwechsel im Denken beim Umgang mit Daten“. Dass die EU-Datenschutzgrundverordnung auch das Handwerk noch über längere Zeit beschäftigen werde, ist für Reuter klar. „Wir werden so lange informieren, wie das gewünscht wird“, versichert er. Claude Karger
Lëtzebuerger Journal

Gut beraten: Die Experten von EY helfen Unternehmen bei der Umstellung auf GDPR

Luxemburg Dan Zandona, „Senior Manager“ und Berater für die Datenschutzgrundverordnung GDPR bei EY, hat die vergangenen Monate damit zugebracht, kleine und große Unternehmen des Finanzsektors bei ihrer Umstellung auf die neue Datenschutzgrundverordnung zu begleiten und zu beraten. „Das fängt in den meisten Fällen mit grundsätzlichen Weiterbildungen zu den neuen Regeln und Grundsätzen“ an, erklärt er. Die korrekte Umsetzung der Datenschutzgrundverordnung beginne mit der konkreten Identifizierung der nötigen Schritte und neuen Richtlinien. „Zum Glück gab es hier bereits das Gesetz von 2002, sodass schon eine gewisse Basis besteht“, meint Zandona.

Auf die Schulungen folgten „Gap Assessments“, bei denen der Ist-Zustand der bisherigen Datenschutzmaßnahmen mit den neuen Anforderungen der Datenschutzgrundverordnung verglichen wurden. „Damit bieten wir den Unternehmen auch einen konkreten Aktionsplan, den sie abarbeiten können.“ In einigen Fällen seien die Berater von EY auch direkt bei der Umsetzung und Implementierung der neuen Regelung beteiligt. „Das Wichtigste ist, dass wir alle Mitarbeiter des Unternehmens an einem Strang ziehen lassen“, betont der Experte. Denn die neue Datenschutzgrundverordnung betreffe längst nicht mehr nur einzelne Abteilungen. „Das betrifft alle Mitarbeiter - vom Empfang über die IT bis ganz nach oben.“ Auch die korrekte Ernennung eines zuständigen „Data Protection Officers“ (DPO) sei keineswegs auf die leichte Schulter zu nehmen.

Schätzungen schwierig

Welche Herausforderungen dabei entstünden, hinge stark von dem jeweiligen Unternehmen ab. „In quasi jedem Fall beginnt es mit der Aktualisierung der Nutzerbedingungen“, meint Zandona. Darüber hinaus sei es aber oft abhängig davon, welche Dienste angeboten werden. „Eine der großen Herausforderungen wird es sein, korrekt auf die neuen Möglichkeiten des Rechts auf Vergessen und Rechts auf Übertragbarkeit zu reagieren“, betonte er. Bisherige Archivsysteme könnten darauf nur bedingt vorbereitet sein. „Zudem stellt sich die Frage, wie viele Mitarbeitet künftig um die Löschanträge oder Übertragungsanträge kümmern sollen“, sagt Zandona. Es sei schwer im Voraus abzuschätzen, wie viele Anfragen auf ein Unternehmen zukommen könnten. Richtig auf die neuen Anfragen reagieren zu können, dürfte Zandona zufolge das nächste Hindernis für manches Unternehmen werden. Hier auf Anhieb die richtige Balance zwischen Aufwand, Nutzen und Risiko zu treffen, werde schwer.

Es gibt dementsprechend vor dem Inkrafttreten am 25. Mai noch viel zu tun. „Alle Unternehmen haben einen festen Aktionsplan, aber abgeschlossen ist der noch lange nicht“, meint er. Deshalb ist er auch überzeugt, dass es eine gewisse Übergangsphase geben wird, in der sich die Unternehmen erst selbst positionieren.

Die richtigen Adressen für mehr Information

Linksammlung

o Der gesamte Text der Datenschutzgrundverordnung vom 27. April 2016 findet sich auf der Webseite der EU unter tinyurl.com/gdpr-text
o Mehr Informationen zur Verordnung, Hinweise zur Umsetzung und Tipps zum Melden gibt es auf der Webseite der nationalen Datenschutzkommission CNPD unter www.cnpd.lu
o Ein Auswertungs-Tool, das über die GDPR-Konformität informiert tinyurl.com/CNPD-Test
o Die beiden deposierten Gesetzesprojekte zur Umsetzung der Datenschutzgrundverordnung GDPR in nationales Recht in Luxemburg laufen auf der Webseite der Abgeordnetenkammer unter 
tinyurl.com/Projekt-7184 tinyurl.com/Projekt-7168