Wolfsburg, 18.01.2018 - Die Zeit läuft, der 25. Mai 2018 rückt immer näher. In den Medien taucht immer häufiger die EU-Datenschutzgrundverordnung (DSGVO) als Stichwort auf. Hohe Bußgelder drohen bei Vergehen gegen die DSGVO (bis zu 20 Millionen Euro oder vier Prozent vom weltweiten Jahresumsatz). Es hat bereits verschiedene Umfragen zum Stand der Umsetzung bei Unternehmen gegeben, doch nur wenige Unternehmen haben die notwendigen Anpassungen bereits abgeschlossen. Eine große Anzahl an kleinen und mittelständischen Unternehmen befindet sich erst in der Informationsphase.
Hier möchten wir einige Informationen zusammenfassen.
Verantwortlichkeiten klären!
Sind in Ihrem Unternehmen die Verantwortlichkeiten rund um das Thema Datenschutz geklärt? Gibt es einen Datenschutzbeauftragten in Ihrer Firma und ist dieser gemäß Art. 37 ABs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet? Sind die Datenschutzziele in einer Leitlinie zusammengefasst und sind die entsprechenden Mitarbeiter auf Datenschutzrisiken aufmerksam gemacht worden?
Rechtmäßigkeit der Datenverarbeitung klären
Im Art. 6 ist die Rechtmäßigkeit der Datenverarbeitung geregelt. Dieser Artikel liefert auch gleichsam im Absatz 1 eine Checkliste mit. Liegt eine Einwilligung der betroffenen Person vor, dienen die Daten der Vertragserfüllung (zum Beispiel Daten an Spediteur), werden die Daten aufgrund von gesetzlichen Pflichten (zum Beispiel Rechnungsarchivierung) erhoben, dienen sie dem Schutz lebenswichtiger Interessen von Menschen (Medizin etc.) oder liegen berechtigte Interessen des Verantwortlichen oder eines Dritten vor (IT-Sicherheit, Compliance, Arbeitszeiterfassung, etc.).
Personenbezogene Daten
Es geht ganz grundsätzlich um personenbezogene Daten (d.h. die erhobenen Daten können einer bestimmten Person zugeordnet werden). Zu diesen Daten gehören nicht nur Name und Adresse und Geburtsdatum, sondern auch Einkommen, Kaufverhalten, IP-Adresse, Surf- und Klickverhalten. Wichtig im Zusammenhang mit diesen personenbezogenen Daten ist, dass eine Einwilligung in die Datenverarbeitung erst ab 16 Jahren möglich ist und es bei jüngeren Kindern vorher der elterlichen Einwilligung bedarf. Verantwortliche müssen nachweisen, dass die betroffene Person oder eben der Erziehungsberechtigte in die Verarbeitung ihrer personenbezogenen Daten bzw. der des Kindes eingewilligt hat.
„Recht auf Vergessenwerden“
Firmen sind dazu verpflichtet, personenbezogene Daten zu löschen, wenn es die betroffene Person wünscht. Für diese Vorgänge muss es entsprechende Datenverarbeitungsrichtlinien in Firmen geben.
Verzeichnis von Verarbeitungstätigkeiten
Eine wesentliche Änderung zu der bisherigen gesetzlichen Regelung ist, dass künftig eine sogenannte Rechenschaftspflicht besteht und bei der Datenverarbeitung begleitend Nachweise erstellt werden müssen, dass die Verarbeitung im Einklang mit den Vorgaben der DSGVO steht. Außerdem muss jedes Unternehmen die Datenschutzziele wie Datenvermeidung, Transparenz der Verarbeitung und Zweckbindung nachweisbar verfolgen. Es genügt also nicht mehr die Datenschutz Vorgaben zu erfüllen, sondern man muss dieses auch den Aufsichtsbehörden gegenüber nachweisen können, denn diese Verzeichnisse von Verarbeitungstätigkeiten sind der Aufsichtsbehörde auf Anfrage vorzulegen.
Ein fehlender Nachweis kann schon zu einem Bußgeld führen, selbst wenn die Verarbeitung rechtskonform erfolgt ist. Wobei allerdings einige Sachverhalte nicht eindeutig geregelt sind. So ist beispielsweise unklar, wie Unternehmen mit den Einwilligungen von Kunden verfahren müssen, wenn sie für mehrere Zwecke personenbezogene Daten erheben möchten. Dies ließ der Vorstandsvorsitzender des Bundesverbandes der Datenschutzbeauftragten (BvD) e.V. Thomas Spaeing verlauten.
Es gibt zwar nach Art. 30 Abs. 5 DS-GVO Ausnahmen was die Führung dieses Verzeichnisses angeht, diese sind allerdings so speziell gefasst, dass im Grunde alle Unternehmen (inkl. Kleinstgewerbetreibende, Arztpraxen, Apotheken, Bildungseinrichtungen und Vereine etc.) ein solches Verzeichnis führen müssen.
Es empfiehlt sich, diese Verzeichnisse für die unterschiedlichen Verarbeitungstätigkeiten einzeln zu erstellen z.B. für CRM System, HR-Informationssystem, Zeiterfassungssystem usw.
Auftragsverarbeiter
Wenn Sie Daten an Externe geben zur Verarbeitung (Auftragsverarbeiter wie z.B. Datev, Steuerberater, Logistikunternehmen etc.) muss dies nach Artikel 28 DS-GVO auf Grundlage eines Vertrages oder eines “anderen Rechtsinstrumentes” erfolgen. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so müssen dieselben Datenschutzpflichten, die für den Auftragsverarbeiter gelten, vereinbart werden.
Bitte beachten Sie, dass z.B. Wartung und Fernwartung von Firmensystemen ebenso eines Vertrages über Auftragsdatenverarbeitung bedürfen, wenn Sie nicht explizit sicherstellen können, dass im Rahmen einer Wartung bzw. Fernwartung ein Zugriff auf personenbezogene Daten absolut sicher vermieden werden kann.
Datenschutzfolgenabschätzung
Für kritische Datenverarbeitungen, davon gibt es eine ganze Reihe, muss vor der Verarbeitung detailliert dargestellt werden, auf welcher Grundlage die Verarbeitung erfolgt und wie die Risiken zu bewerten sind. Hierzu zählt u.a. auch die Videoüberwachung.
Meldepflicht von „Datenpannen“
Es besteht eine Selbstanzeigepflicht von Datenpannen gegenüber der Aufsichtsbehörde. Diese ist bei Datenpannen unverzüglich und möglichst innerhalb von 72 Stunden zu informieren. Außerdem muss die betroffene Person, die die Datenpanne betrifft unverzüglich informiert werden. Zu Datenpannen zählen dabei nicht nur Hackerangriffe, sondern auch Datenverlust, unbefugte Einsichtnahme in personenbezogene Daten usw.. Eine Meldung an die Aufsichtsbehörde muss nur dann nicht erfolgen, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Datenschutzerklärung für Webseiten
Da Informationspflichten der Betreiber von Webseiten erhöht werden mit der neuen Datenschutzgrundverordnung und z.B. auf die Rechtsgrundlagen der Verarbeitung hingewiesen werden muss, ist auf jeden Fall ein Update der bisherigen Datenschutzerklärungen auf Webseiten notwendig.
Privacy by Design
Privacy by Design ist ein Grundsatz, der bereits im Rahmen der Entwicklungen für Datenverarbeitung (zum Beispiel von Hard- oder Software) zur Beachtung der Datenschutzvorschriften verpflichtet. Durch die DS-GVO soll das frühzeitige Ergreifen von technischen und organisatorischen Maßnahmen (TOMs) im bereits im Entwicklungsstadium sichergestellt werden.
Privacy by Default
Privacy by Default heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Bei Software beispielsweise muss der Auslieferungszustand datenschutzfreundlich gestaltet sein, so dass der Nutzer keine weiteren Einstellungen vornehmen muss, um seine Privatsphäre zu schützen.
Neu im Rahmen dieser Verordnung sind weiterhin das Marktortprinzip (die Regelungen gelten auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind) , die Verfahrensvereinfachung und einheitliche Rechtsanwendung, das One-Stop-Shop (die Aufsichtsbehörde am Hauptsitz des Unternehmens ist zuständig) und das Kohärenzverfahren.
Fazit:
Firmen sind gut beraten, den Datenschutz und die Umsetzung der DS-GVO zur Chefsache zu machen und anhand von Checklisten ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen (unter Umständen auch mit Hilfestellung durch Datenschutz-Software und bzw. oder sich externe Hilfe für die Umsetzung holen. Ansprechpartner sind hierbei sowohl die für den Datenschutz zuständigen Landesaufsichtsbehörden, die Unternehmen bei der Umstellung mit Information und Beratung ebenso unterstützen, wie die IHK, der BvD oder IT-Dienstleister mit dem Schwerpunkt Datenschutz oder Juristen mit dem Schwerpunkt IT.
Link Tipps:
Der Branchenverband bitkom stellt auf seiner Internetseite ebenfalls Leitfäden und Mustervertragsanlagen zur Verfügung https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
Außerdem finden Sie dort auch einen Leitfaden für Risk Assessment & Datenschutz-Folgenabschätzung https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf
Die komplette Datenschutz-Grundverordnung finden Sie als pdf-Datei inkl. des neuen BDSG auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationssicherheit.
Im Datenschutz-Wiki werden die Begriffe, Themen und Probleme des Datenschutzes und der Informationssicherheit erläutert und dargestellt: https://www.datenschutz-wiki.de/Hauptseite
Autor:
Dr. Ute Burghardi