Zur Navigation springen Zum Inhalt springen Zum Footer springen

Zwischen Hysterie und Wahnsinn – Die Datenschutzgrundverordnung kommt! Start am 25.05.2018

(10)

Es gibt keinen Grund zur Panik oder Hysterie! Der Datenschutz sollte aber von allen, die personenbezogene Daten speichern, verarbeiten oder nutzen, in jedem Fall ernst genommen werden. Was hat sich geändert, was bleibt gleich?

Grundlage für die Neuerungen sind die EU-Datenschutz-Grundverordnung (DS-GVO) sowie das geänderte Bundesdatenschutzgesetz (BDSG). Die EU-Verordnung mit ihren 99 Artikeln gilt ab dem 25. Mai 2018 unmittelbar in der gesamten Europäischen Union und dient dem Zweck eines weitgehend einheitlichen Datenschutzniveaus in allen EU-Mitgliedstaaten. Das neue Datenschutzrecht betrifft praktisch alle Unternehmen (auch „Verantwortliche Stelle“ oder „Verantwortlicher“ genannt), da sie in der Regel mittels Computer Kunden- und/oder Mitarbeiterdaten verarbeiten. Auch Ihr Unternehmen ist damit von den Änderungen des Datenschutzrechts betroffen.

Das neue Recht hält zwar im Wesentlichen an bisherigen bekannten Grundprinzipien des Datenschutzes fest. Es entwickelt aber zugleich diese Prinzipien weiter und enthält eine Reihe neuer Vorgaben, die zu beachten sind. Die Nichteinhaltung kann gravierende Folgen und hohe Bußgelder zur Folge haben.

Nachstehend möchte ich Sie kurz über die wesentlichen Neuerungen informieren:

1. Datenschutzgrundsätze 

Wichtige Datenschutzgrundsätze nach der EU-Datenschutz-Grundverordnung sind

  • Rechtmäßigkeit der Datenverarbeitung: Die Verarbeitung von Daten ist nur dann rechtmäßig, wenn sie gesetzlich erlaubt ist oder eine Einwilligung oder eine andere in Artikel 6 EU-Verordnung normierte Ausnahme vorliegt. Das trifft etwa zu bei der Datenverarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist oder wenn die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist;
  • Transparenz: Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet und hat umfassende Auskunftsrechte, denen Informationspflichten der verarbeitenden Stelle gegenüberstehen;
  • Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden;
  • Datensicherheit: Geeignete technische und organisatorische Maßnahmen sind zur Gewährleistung von Datensicherheit unter Berücksichtigung des Stands der Technik, aber u. a. auch der Kosten und der Risikoschwere erforderlich.
  • Datensparsamkeit: Die Verarbeitung muss dem Zweck angemessen und auf das für den Zweck der Datenverarbeitung nötige Maß beschränkt sein;
  • Richtigkeit der Daten: Die Daten müssen richtig sein, unrichtige müssen berichtigt oder gelöscht werden;
  • Rechenschaftspflicht: Die Einhaltung des Datenschutzes ist durch das Unternehmen nachzuweisen. Das Unternehmen muss nachweisen können, dass seine Datenverarbeitung datenschutzkonform ist. Umfangreiche Pflichten zur Dokumentation sollen dies sicherstellen. Auch in kleineren und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

2. Erweiterung der Betroffenenrechte und der Informationspflichten

Die EU-Datenschutz-Grundverordnung erweitert gem. Artikel 13 ff. die Betroffenheitsrechte und Informationspflichten gegenüber den Betroffenen erheblich. Die betroffene Person ist vor der Erhebung von personenbezogenen Daten in präziser und verständlicher Form zu informieren. Erforderliche Benachrichtigungen betreffen u. a. die Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke sowie die Rechtsgrundlage. Das Auskunftsrecht der betroffenen Person (Artikel 15) bedeutet, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Trifft dies zu, hat sie ein Recht auf Auskunft über diese Daten sowie über Informationen u. a. über die Verarbeitungszwecke, Datenherkunft, Empfänger und über die Dauer der Speicherung. Es besteht ein Recht auf Berichtigung und regelmäßig auch auf Löschung (Artikel 16, 17).

Das Recht auf Löschung ist auch unter der Bezeichnung „Recht auf Vergessenwerden“ bekannt. Eine betroffene Person kann die Löschung ihrer personenbezogenen Daten verlangen u. a. dann, wenn der Zweck der Verarbeitung entfallen ist oder die Datenverarbeitung unrechtmäßig ist oder eine Pflicht des Verantwortlichen zur Löschung besteht.

3. Rechenschaftspflicht und Verarbeitungsverzeichnis

Die Dokumentationspflicht des Unternehmens wird erweitert. Eine Rechenschaftspflicht des Verantwortlichen wird eingeführt. Rechenschaftspflicht bedeutet, dass der Verantwortliche die Einhaltung aller in der Verordnung aufgeführten Rechtsgrundsätze nachweisen können muss (Artikel 5 Absatz 2). Es handelt es sich um folgende Rechtsgrundsätze:

Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Transparenz, Zweckmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Ferner hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass er bei der Datenverarbeitung die Verordnung vollumfänglich beachtet (Artikel 24). Zudem sind die ergriffenen Maßnahmen zu überprüfen und zu aktualisieren.

In der Praxis setzt man die Rechenschaftspflicht über die Rechtmäßigkeit der Verarbeitung im sog. Verzeichnis für Verarbeitungstätigkeiten um. Artikel 30 schreibt vor, dass der Verantwortliche ein Verzeichnis über alle Verarbeitungstätigkeiten führen muss. Wenn die Verarbeitung nicht nur gelegentlich erfolgt, müssen auch Unternehmen mit weniger als 250 Mitarbeiter ein Verarbeitungsverzeichnis von Verarbeitungen führen!

Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierten Verarbeitungen sowie nicht automatisierten Verarbeitungen personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen. Artikel 30 Artikel listet detailliert auf, welche Angaben das Verzeichnis enthalten muss, wie:

  • Name und Kontaktdaten des Verantwortlichen, eines ggf. gemeinsam mit ihm Verantwortlichen und eines etwaigen Datenschutzbeauftragten (Art. 30 Absatz 1 Satz 2a);
  • Zwecke der Verarbeitung im Sinne von Artikel 30 Absatz 1 Satz 2b, aufgeteilt in Einzelverzeichnisse;
  • Beschreibung der Datenkategorien betroffener Personen und der Kategorien personenbezogener Daten siehe Art. 30 Abs. 1 Satz 2c;
  • Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt werden (Artikel 30 Absatz 1 Satz 2).

Damit das Verarbeitungsverzeichnis den inhaltlichen Vorgaben des Art. 30 entspricht, kann wie folgt vorgegangen werden:

In einem ersten Schritt werden Grundangaben zum Unternehmen gemacht: Name des Unternehmens, Anschrift, Geschäftsführer, Registergericht, Registernummer, Kontaktdaten (Telefon, Telefax, E-Mail) sowie für den Datenschutz zuständige Personen.

In einem zweiten Schritt werden die einzelnen Verarbeitungstätigkeiten dargestellt: z. B. Verarbeitung von Daten im Auftrag Dritter, Marketingmaßnahmen (wie Tracking, Postmailings), Online-Handel, Vertragsformen, Sicherheitsmaßnahmen (wie Serverprotokollierung).

Im dritten Schritt sind die in Artikel 30 vorgesehenen Angaben zu den einzelnen Verarbeitungstätigkeiten zu machen. Beispiele für Datenkategorien sind u. a. Kundenstammdaten (mit Namen, Anschriften, Kontaktdaten usw.), Beschäftigtenstammdaten (Namen, Anschriften, Steuermerkmale), Nutzungsdaten, Lieferanten, Dienstleister, Website-Besucher.

In einem vierten Schritt sind schließlich die ergriffenen technischen und organisatorischen Maßnahmen aufzuführen, die den Missbrauch der verarbeiteten personenbezogenen Daten durch Unbefugte ausschließen. Zu den technischen und organisatorischen Maßnahmen gehören nach Art. 32 u. a. die Verschlüsselung personenbezogener Daten, die Gewährleistung der Vertraulichkeit und der Integrität der Systeme und Dienste. Solche technischen und organisatorischen Maßnahmen könnten etwa sein: Zugangskontrollen, Firewalls, Virenschutz, Auftragskontrolle, Eingabekontrolle/Protokollierung.

Präzise Angaben sind im Verzeichnis zur Speicherdauer zu machen (Art. 30 Abs. 1 Satz f). Auf Anfrage muss der Aufsichtsbehörde das Verarbeitungsverzeichnis vorgelegt werden.

4. Weitere Neuerungen nach der EU-Datenschutz-Grundverordnung

Erstmals ausdrücklich geregelt ist, dass eine Einwilligung in die Verarbeitung personenbezogener Daten erst im Alter von 16 Jahren möglich ist (Art. 8). Zuvor bedarf es der elterlichen Einwilligung. Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Eine Datenschutz-Folgenabschätzung nach Art. 35 ist durchzuführen, wenn konkrete Verarbeitungsvorgänge ein voraussichtlich hohes Risiko aufweisen.

5. Hinweise zur Umsetzung

Die EU-Datenschutz-Grundverordnung ist bis zum 25. Mai 2018 umzusetzen. Ab diesem Zeitpunkt können die Aufsichtsbehörden bei Verstößen abmahnen und Bußgelder verhängen.

Bei der Frage, wie nun die Datenschutz-Grundverordnung im Unternehmen konkret umzusetzen ist, sollte zunächst eine Bestandsaufnahme gemacht werden. Alle Verfahren, mit denen personenbezogene Daten verarbeitet werden, sind dahingehend zu überprüfen, ob es Anpassungsbedarf im Hinblick auf die Verordnung gibt. Das betrifft insbesondere die rechtlichen, technischen und organisatorischen Bereiche im Unternehmen. Es geht dabei u. a. um

  • die derzeitigen Prozesse im Unternehmen, in denen personenbezogene Daten verarbeitet werden (bestehende Dokumentationen können hierfür herangezogen werden);
  • die Datenschutzorganisation (d. h. alle Vorkehrungen und Maßnahmen, die im Unternehmen zum Schutz personenbezogener Daten getroffen werden);
  • die Dienstleistungsbeziehungen (wie etwa bestehende Verträge über eine Auftragsverarbeitung);
  • die Dokumentation (z. B. Verfahrensverzeichnisse, Datenschutzkonzepte, IT-Sicherheitskonzepte).

Nach Feststellung des Ist-Zustandes ist der Handlungsbedarf zur Erfüllung der neuen Vorgaben nach der EU-Datenschutzverordnung zu eruieren. Dabei geht es u. a. um die Rechtsgrundlagen (Liegen alle Einwilligungen vor?), Betroffenenrechte (Informationspflichten erfüllt?), datenschutzfreundliche Technikgestaltung, Dienstleistungsbeziehungen (insbesondere bestehende Verträge zur Auftragsverarbeitung), Dokumentationspflichten und Meldepflichten (Meldung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde bis zum 25.05.2018 – in NRW bis zum 31.12.2018 zulässig).

Bei der Umsetzung der notwendigen Veränderungen sollten die oben genannten Punkte beachtet werden.


Rechtstipp vom 25.04.2018
aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Ihre Spezialisten