EHI Retail Institute
Bereits seit dem vergangenen Jahr gelten einheitliche Datenschutzregeln in Europa, die Unternehmen insbesondere aufgrund der Europäischen Datenschutzgrundverordnung (EU-DSGVO) bis zum 25. Mai 2018 umgesetzt haben müssen.
Durch die neuen Bestimmungen müssen sich auch Handelsunternehmen auf zahlreiche zusätzliche Anforderungen betreffend den Datenschutz einstellen. Dabei kann es richtig teuer werden, denn die neue Verordnung enthält auch deutlich höhere Bußgeldsätze, welche die Unternehmen empfindlich treffen können. Antonio Ralf W. Reschke ist Rechtsanwalt mit dem Kanzleisitz in Wiesbaden, zertifizierter Datenschützer sowie zugelassener Datenschutz-Gutachter für die Zulassungsbereiche Technik und Recht der staatlichen Datenschutzaufsichtsbehörde ULD in Kiel. Beim kommenden EHI Inventur- und Sicherheitskongress 2017 beleuchtet er aktuelle Rechtsfragen zur Thematik EU-DSGVO. Außerdem erklärt der Datenschutzexperte in diesem Zusammenhang auch die rechtliche Sicht auf die sogenannte S.I.E.M.-Technologie.
Unser Sicherheitsexperte Frank Horst hat Herrn Rechtsanwalt Reschke vorab einige Fragen gestellt:
RA Antonio Ralf W. Reschke
EHI: Herr Reschke, welche Bedeutung hat die Europäische Datenschutz-Grundverordnung für den Einzelhandel?
RA Reschke: Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2016 in Kraft getreten ist und nach zweijähriger Übergangsphase am 25. Mai 2018 „endgültige“ Geltung erlangt, wird das Datenschutzrecht EU-weit vereinheitlicht. Die Grundverordnung legt u. a. die Rechte der Betroffenen, wie z. B. das Recht auf Datenlöschung, oder anders genannt das „Recht auf Vergessen werden“, sowie die Pflichten der Verantwortlichen neu fest. Mit der Verordnung, die nach dem Marktortprinzip nicht nur auf in der EU niedergelassene Unternehmen Anwendung findet, wenn diese ihre Verarbeitungen auf EU-Bürger ausrichten, zielt der Gesetzgeber vermeintlich in erster Linie auf Unternehmen wie Facebook, Google & Co. ab. Aber auch andere Firmen können die stark heraufgesetzten Bußgelderparameter in erheblicher Weise treffen. So können bei Pflichtverstößen von Unternehmen Bußgelder bis zu einer Höhe von zwei Prozent des weltweiten Jahresumsatzes anfallen. Bei erheblichen Verstößen können sogar Bußgelder von bis zu vier Prozent des jeweiligen weltweiten Jahresumsatzes verhängt werden. Solche Summen können, wenn sie ausgeschöpft werden, u. U. existenzvernichtend sein.
EHI: Können Sie kurz erläutern, was sich hinter dem Schlagwort S.I.E.M. genau verbirgt und welche Anforderungen sich daraus für Einzelhändler ergeben?
RA Reschke: S.I.E.M. steht für Security Information and Event Management. Diese Technologie bietet die Möglichkeit von Echtzeitanalysen mittels Sicherheitsalarmen, die z. B. durch eine nicht regelkonforme Nutzung von Netzwerk bzw. Hardware oder Softwareanwendungen ausgelöst werden und dazu beitragen Trends wie auch Muster zu erkennen, die vom „gewohnten“ Nutzungsschema abweichen. Somit lassen sich unzulässige Zugriffe erkennen. Allerdings gibt es insbesondere, betriebsverfassungs,- datenschutz- und verfassungsrechtliche Schranken bei der Verarbeitung solcher Daten, auf welche die Anwender achten müssen. Ein Beispiel: Im Handel gibt es die sogenannte Bondatenanalyse, um Mitarbeiterdelikte und organisatorische Abweichungen in Handels- und Filialunternehmen erkennen zu können. Solche Daten, die im Einzelfall in den strafrechtsrelevanten Bereich Fallen können, dürfen nicht ohne weiteres verarbeitet werden.
EHI: Das sogenannte BDSG neu ist erst kürzlich in zustandegekommen, welche maßgeblichen Änderungen sind dadurch zu erwarten?
RA Reschke: Die Frage lässt sich momentan noch nicht abschließend beantworten, da das Gesetz erst wenige Wochen alt ist, und es noch keine Ausführungshinweise oder gar Rechtsprechung dazu gibt. Ferner gilt das BDSG (Bundesdatenschutzgesetz) neu nur in einigen Teilen für Unternehmen losgelöst von der Frage einer „Europarechtskonformität“. Bei der Fragestellung, welche Teile des BDSG neu neben der EU-DSGVO gelten, kommt es daher ganz konkret darauf an, ob es sich um eine juristische Person des Privatrechts (Unternehmen) oder aber um eine öffentlich-rechtliche Institution (Behörde) handelt und wie die Datenverarbeitung konkret erfolgt. Insbesondere diese Umstände führen betreffend die Privatwirtschaft, also auch bei Einzelhändlern, aktuell noch zu erheblichen Rechtsunsicherheiten.