Von Ulrich Baumgartner *)85 Wochen sind eine lange Zeit. Bis zum 25. Mai 2018 haben Unternehmen noch, um ihre Datenverarbeitung auf die neuen Anforderungen der europäischen Datenschutz-Grundverordnung umzustellen. Dann gilt die Verordnung, die im Mai dieses Jahres verabschiedet wurde, direkt in allen Mitgliedstaaten. Damit tritt in Europa ein neues Datenschutzrecht in Kraft – ohne weitere Übergangsfrist.Manche Unternehmen, allen voran einige internationale Konzerne, haben schon lange vor Verabschiedung der Verordnung begonnen, sich auf die veränderten rechtlichen Rahmenbedingungen einzustellen. Allen anderen läuft langsam, aber sicher die Zeit davon.Die Datenschutz-Grundverordnung ist nicht einfach nur ein neues Gesetz, das ab Mai 2018 beachtet werden muss, bis dahin aber ignoriert werden kann. Sie erfordert vielmehr eine sorgfältige und meist aufwendige Vorbereitung, bis hin zu Modifikationen bestehender Produkte oder Dienste. Teilweise werden ganze Geschäftsmodelle zur Disposition stehen.Dabei setzt die Verordnung – anders als das bislang geltende Recht – stärker auf die Eigenverantwortung der Unternehmen. Sie müssen selbst beurteilen, welches datenschutzrechtliche Risiko die eigene Datenverarbeitung mit sich bringt und wie sie dieses in den Griff bekommen. Dieser grundsätzliche Kurswechsel bedeutet auf den ersten Blick mehr Flexibilität. Ein zweiter Blick zeigt jedoch, dass die höhere Eigenverantwortung einhergeht mit stark gestiegenen Compliance-Anforderungen.Unter der Datenschutz-Grundverordnung müssen Unternehmen die gesamte eigene Datenverarbeitung auf den Prüfstand stellen und für jeden einzelnen Verarbeitungsvorgang das damit verbundene Risiko für die Rechte und Freiheiten der betroffenen Kunden oder Mitarbeiter bewerten. An das Ergebnis dieser Risikoanalyse knüpfen eine Reihe weiterer, in der Praxis äußerst aufwendiger Pflichten an – von der Auswahl der geeigneten IT-Sicherheitsmaßnahmen über eine detaillierte sogenannte “Datenschutz-Folgenabschätzung” bis hin zur proaktiven Vorsprache bei den Datenschutzbehörden.Dabei setzt die Verordnung zu einem sehr frühen Zeitpunkt an und fordert, dass datenschutzrechtliche Pflichten schon im Entwicklungsstadium von datenverarbeitenden Systemen berücksichtigt werden, der Datenschutz also buchstäblich “ab Werk mit eingebaut wird”. Flankiert werden diese neuen Anforderungen durch umfangreiche Dokumentationspflichten. Die Unternehmen müssen jederzeit in der Lage sein, gegenüber den Aufsichtsbehörden ihre Compliance mit der Verordnung nachzuweisen. Misslingt dieser Beweis, drohen künftig drakonische Strafen von bis zu 20 Mill. Euro oder 4 % des weltweiten Jahresumsatzes. Verständnis der SystemeSo weit die Theorie. In der Praxis stellt viele Unternehmen bereits der erste notwendige Schritt auf dem Weg hin zur Compliance mit der Datenschutz-Grundverordnung vor erhebliche Schwierigkeiten. Dreh- und Angelpunkt ist nämlich ein sehr genaues Verständnis der eigenen Datenverarbeitung. Nur wer weiß, welche Daten er wo, auf welche Weise und zu welchen Zwecken verarbeitet, kann das damit verbundene Risiko einschätzen und daraus die richtigen Schlüsse ziehen.Klingt einfach, ist es aber oftmals nicht. Zugegeben: Schon unter geltendem Recht sind Unternehmen verpflichtet, die eigene Datenverarbeitung zu dokumentieren; Stichworte sind hier Verfahrensverzeichnis und Verarbeitungsübersicht. In der Praxis fällt diese Dokumentation aber oft sehr oberflächlich oder unvollständig aus, falls sie überhaupt vorhanden ist.Unternehmen, die insoweit eine weiße Weste haben, können unmittelbar ihren jeweiligen Anpassungsbedarf analysieren und werden in der Regel mit der noch zur Verfügung stehenden Vorbereitungsfrist auskommen. Alle anderen jedoch, die heute noch keinen detaillierten Überblick über ihre in der Praxis oft hochkomplexe Datenverarbeitung haben, laufen ein hohes Risiko. Keine pauschalen AntwortenWas ist also zu tun? Am Anfang sollte stets eine ehrliche Bestandsaufnahme stehen: Haben wir den nötigen Überblick über die eigene Datenverarbeitung? Verfügen wir über die nötigen Ressourcen und Expertise, um der Datenschutz-Grundverordnung gerecht zu werden? Falls die Antwort nein lautet, besteht dringender Handlungsbedarf für die notwendige Grundlagenarbeit. Oft müssen vorhandene Datenschutzteams erweitert oder gar neu aufgebaut werden. All das kostet wertvolle Zeit.Sobald alle Fakten auf dem Tisch liegen, folgt im nächsten Schritt die systematische Überprüfung aller Datenverarbeitungsvorgänge darauf hin, ob die Anforderungen der Datenschutz-Grundverordnung eingehalten werden. Ziel ist es, Anpassungsbedarf zu identifizieren und in möglichst konkrete Maßnahmen zu übersetzen. Hier gibt es keine pauschalen Antworten. Grundsätzlich gilt: Je komplexer die eigene Datenverarbeitung ist, desto höher wird der Aufwand sein. In einem letzten Schritt müssen die identifizierten Maßnahmen schließlich umgesetzt und detailliert dokumentiert werden. Vor diesem Hintergrund können 85 Wochen sehr kurz sein.—-*) Ulrich Baumgartner ist Partner im Münchner Büro der Kanzlei Osborne Clarke.