Sperriger Name, weitreichende Folgen: Vom 25. Mai an müssen Unternehmen die Anforderungen der Datenschutzgrundverordnung (DSGVO) erfüllen. Die DSGVO regelt, wie personenbezogene Daten durch private Unternehmen und öffentliche Stellen verarbeitet werden dürfen.
Obwohl es nur noch wenige Wochen bis zum Inkrafttreten sind, haben einer aktuellen Befragung des Beratungshauses EY zufolge erst 33 Prozent aller weltweit Befragten einen konkreten Plan, wie sie die Vorgaben einhalten können. In Europa liegt der Anteil mit 60 Prozent zwar deutlich höher, dennoch sind bei weitem nicht alle Unternehmen vorbereitet. Ulrich Korth, Partner der Kanzlei Morgan Lewis, erklärt im FINANCE-Gespräch, auf welche Veränderungen sich speziell die Finanzabteilungen einstellen müssen.
Die EU will die Anforderungen an den Datenschutz mit der DSGVO noch einmal deutlich verschärfen. In welchem Maße trifft das die Finanzabteilung?
CFOs und Treasurer müssen deutlich umfassendere Dokumentationspflichten erfüllen, beispielsweise im Zahlungsverkehr. Sie müssen dokumentieren, wer Zugriff auf Zahlungsverkehrsdaten hat. Zudem müssen die Betroffenen in die Nutzung ihrer personenbezogenen Daten einwilligen, und zwar individuell.
„CFOs müssen deutlich umfassendere Dokumentationspflichten erfüllen.“
Ihnen müssen zur Nutzung viel mehr Details als bisher vorab in verständlicher Sprache mitgeteilt werden. Ein Passus in den allgemeinen Geschäftsbedingungen reicht dafür nicht aus. Der Kunde muss ein gesondertes Dokument unterschreiben.
Viele Kunden tauchen im Zahlungsverkehr immer wieder auf, etwa weil sie quartalsweise neues Material bei einem Zulieferer ordern. Wie muss man mit deren Daten umgehen?
Grundsätzlich gilt das Prinzip der Datenminimierung. Das bedeutet, dass die Finanzabteilung die Zahlungsverkehrsdaten anonymisieren oder löschen muss, sobald sie nicht mehr benötigt werden, um beispielsweise einen Vertrag zu erfüllen. Wenn man die Daten weiter oder anderweitig nutzen möchte, ist dafür das Einverständnis des Kunden erforderlich.
DSGVO erschwert Big-Data-Analysen
Die Zahlungsverkehrsdaten sind für Unternehmen eine gute Möglichkeit, durch Big-Data-Analysen beispielsweise Rückschlüsse auf das Zahlungsverhalten ihrer Kunden zu erhalten. Ist das künftig überhaupt noch möglich?
Es wird zumindest schwieriger. Das Unternehmen muss die Betroffenen darauf hinweisen, dass es die Daten für Big-Data-Analysen nutzen möchte, um etwa das Zahlungsverhalten zu analysieren. Gleiches gilt, wenn ein Unternehmen auf Basis historischer Bezahldaten ein internes Bonitätsranking seiner Kunden erstellen möchte. Der Betroffene kann in solchen Fällen der Nutzung seiner Daten widersprechen. Das Unternehmen ist also darauf angewiesen, dass die Betroffenen sich kooperativ zeigen.
Daten fallen ja in der Regel nicht nur beim Zahlungsverkehr an, sondern sind oft generell Teil des Geschäftsmodells. Wie kann sich ein Unternehmen absichern?
Wer ein datenbasiertes Geschäftsmodell hat, sollte in jedem Fall umfassend dokumentieren, in welcher Weise er personenbezogene Daten verarbeitet und welche Risiken sich daraus ergeben. Wie sieht mein Produkt genau aus? Welche Rolle spielen personenbezogene Daten? Welche Risiken und Schutzmechanismen gibt es? Wer hat auf welche Daten Zugriff?
Diese sogenannte Folgeabschätzung sollte auch enthalten, welche Schritte die verschiedenen Unternehmensbereiche unternehmen, um die Daten vor Missbrauch zu schützen. Das betrifft neben der Finanzabteilung auch die Personalabteilung, den Vertrieb und andere mehr. Dieser Prozess ist aufwendig, und bei einigen Unternehmen drängt die Zeit.
„Bei einigen Unternehmen drängt die Zeit.“
DSGVO-Verstöße können hart bestraft werden
Was droht Unternehmen, die die Anforderungen der DSGVO nicht erfüllen?
Die Strafen sind beträchtlich und können schlimmstenfalls die Existenz bedrohen. Bei Verstößen drohen Strafzahlungen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Betroffene, deren Daten missbräuchlich genutzt wurden, können das Unternehmen darüber hinaus verklagen und Schadenersatz fordern. Eine umfassende und aktuelle Dokumentation ist daher auch ein wichtiger Selbstschutz, um bei Schadenersatzklagen oder bei Überprüfungen durch die Behörden das eigene Vorgehen darlegen zu können.
Erwarten Sie, dass die Behörden das hohe Strafmaß der DGSVO voll ausschöpfen werden?
Ich kann mir durchaus vorstellen, dass dies bei schwerwiegenden Verstößen passiert. Allerdings ist das Eintreiben der Bußgelder in der Praxis etwas komplizierter als in anderen Bereichen. Während es zum Beispiel im EU-Kartellrecht eine EU-Behörde gibt, entscheiden bei der DSGVO mehr als 20 Datenschutzbehörden individuell. Ich gehe aber davon aus, dass sich im europäischen Rechtsraum mittelfristig eine einheitliche Praxis herausbilden wird.
