Im Zuge der EU-Datenschutzreform wurden die Regeln zur Verarbeitung personenbezogener Daten harmonisiert. Das EU-Datenschutzreform-Paket besteht aus

  • der DatenschutzGrundverordnung (Verordnung (EU) 2016/679 – kurz: DSGVO) und
  • der Datenschutz-Richtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680)

Umgesetzt wurden diese in Deutschland im Wesentlichen durch das „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ („DSAnpUG-EU“). Das DSAnpUG-EU wurde am 27. 04. 2017 vom Deutschen Bundestag verabschiedet und ist einschließlich der neuen Fassung des Bundesdatenschutzgesetzes (kurz: „BDSGneu“) ab 25. 05. 2018 in Kraft getreten.

Das “BDSG-neu” hat folgende Regelungsinhalte

  1. Bestimmungen, die allen relevanten Datenverarbeitungen zugrunde gelegt werden sollen
  2. ergänzende Bestimmungen zu Datenverarbeitungen zu Zwecken der DSGVO
  3. Umsetzung der Datenschutz-Richtlinie für Polizei und Justiz sowie
  4. Besondere Bestimmungen für Datenverarbeitungen außerhalb des Anwendungsbereichs der DSGVO.
Mit den Neuerungen der DSGVO sind die Unternehmen, aufgrund der drohenden drakonischen Strafen, zur Anpassung gezwungen.

Zielgruppe

Betroffen von der DSGVO sind alle Unternehmen, welche folgende Merkmale erfüllen

  1. Datenverarbeitung innerhalb der EU (Marktortprinzip) und
  2. personenbezogene Daten werden verarbeitet.

Die DSGVO bezieht jede automatisierte und jede nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem mit ein. Entsprechend Art.2 I DSGVO reicht sogar die Absicht die Daten in ein Dateisystem zu übernehmen aus.

Die Regelungen der DSGVO sind Technologie neutral.

Personenbezogene Daten sind alle Daten, welche sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen bspw. Name, Adresse, Telefonnummern, Autokennzeichen, IP und vieles mehr.

Sensible Daten sind eine Unterkategorie von personenbezogenen Daten, die ein besonders hohes Schutzniveau genießen. Dazu zählen u.a. Daten über rassische / ethnische herkunft, politische Meinungen, religiöse / weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische / biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben / der sexuellen Orientierung von natürlichen Personen.

In Drittstaaten außerhalb der EU gilt generell kein angemessenes Datenschutzniveau. Die EU Kommission kann für Drittstaaten ein solches feststellen. D.h. in der Praxis, dass eine Datenverarbeitung in Drittstaaten nur zulässig ist, wenn zusätzliche Sicherheitsmechanismen festgelegt wurden.

Sinn und Zweck

Aus Unternehmersicht gilt es Hohe Bußgelder von bis zu 4 % des weltweiten Umsatzerlöses oder bis zu 20 Millionen Euro zu vermeiden. Nicht zu unterschätzen ist überdies die erweiterte zivilrechtliche Haftung für Verwantwortliche und Auftragsverarbeiter. Gem. Art. 82 I DSGVO sind hier materielle und immaterielle Schäden zu ersetzen.

Ziel der DSGVO ist die Regulierung zum Zwecke eines ordnungsgemäßen Umgangs mit personenbezogenen Daten. Durch verschiedene Prinzipien / Regelungen, wie bspw. bezüglich

  • Integrität und Vertraulichkeit
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
    Transparenz
  • Zweckbindung von personenbezogener Daten
  • Grundsatz der Datenminimierung
  • Grundsatz der Richtigkeit
  • Grundsatz der Pseudonymisierung
  • Speicherungsbegrenzung (“so kurz wie möglich, solang wie nötig”),

soll dies künftig gewährleistet werden.

Über dies hat sich mittlerweile folgender Merksatz “etabliert”

Kein Verarbeitungsverzeichnis = Bußgeld

Das Prinzip

Die Prinzipien und Anforderungen der DSGVO sind mannigfaltig und umfangreich. In der folgenden Darstellung haben wir wesentliche Punkte für Sie kurz im Überblick zusammengefasst.

Die Verarbeitung personenbezogener Daten ist – sofern es sich nicht um „sensible Daten“ handelt – rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • Einwillingung
  • rechtliche bzw. gesetzliche Erlaubnistatbestände

Einwilligung

Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Es muss eine eindeutige

  • bestätigende
  • freiwillige

Handlung durch den Betroffenen in informierter Weise für den konkreten Fall der Verarbeitung erfolgt sein. Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen.

Hinweis:  Vorangekreuzte Kontrollfelder oder Untätigkeit sind keine Einwilligung.

Wenn die Verarbeitung mehreren Zwecken dient, so ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig.

Erlaubnistatbestand

Die sonsitigen Erlaubnistatbestände gem. Art. 6 DSGVO kurz im Überblick

  • Einwilligung
  • Vertragliche oder vorvertragliche Notwendigkeit
  • Rechtliche Verpflichtung
  • Lebenswichtige Interessen
  • Öffentliches Interesse
  • Berechtigtes Interesse

Zu unterscheiden ist hier der Zweck bei Erhebung von personenbezogenen Daten und der Zweck der eigentlichen Verarbeitung.

Grundsätzlich ist die Verarbeitung nur dann zulässig, insoweit der Betroffene einer Zweckänderung vorab eingewilligt hat oder eine Rechtsvorschrift dies erlaubt (vgl. Art. 23 I DSGVO).

Einwilligung

Aufgrund des Grundrechts auf informationelle Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält. Zudem gilt das “Kopplungsverbot”.

Erweiterte Transparenz

Der Transparenzgrundsatz ist einer der wesentlichen Prinzipien der Verordnung (vgl. Art. 5 I DSGVO).

Grundsätzlich muss der Verantwortliche künftig

  • betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten (Art. 12 Abs. 1 DSGVO)
  • die Unterrichtungs- und Auskunftsrechte Betroffener berücksichtigen ( insbsesondere Art. 12 bis Art. 15 DSGVO).

Löschpflichten

Personenbezogene Daten sind ohne unangemessene Verzögerung zu löschen (vgl. Art. 17 DSGVO), außer es liegen vorrangig berechtigte Gründe vor.

Die Information zur Löschung bezieht sich überdies auch auf Dritte, insoweit an diese Daten weitergegeben wurden.

Stellung und Haftung

Zu den Aufgaben des Datenschutzbeauftragten zählen u.a.:

  • die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten,
  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften,
  • Überwachung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, Schulungen und Überprüfungen,
  • Beratungen auf Anfrage zu der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung sowie
  • Zusammenarbeit & Ansprechpartner der Aufsichtsbehörde.

Im allgemeinen lässt sich festhalten:

Aufgaben

Es ist seit langem in vielen Unternehmen bekannt und völlig normal, dass Datenschutzbeauftragte bestellt werden. Neu ist, dass aufgrund der DSGVO die Pflicht zur Bestellung von Datenschutzbeauftragte in einem weiten Umfang auf Europa ausgedehnt wurde.

Die Öffnungsklausel in der DSGVO hat dazu geführt, dass die Anforderungen an Unternehmen zur Bestellung eines DSB weitestgehend konkretisiert wurden. Gem. § 38 BDSG-neu sind in der BRD Unternehmen

  • ab 10 Personen (die mit automatisierter Datenverarbeitung personenbezogener Daten befasst sind)

dazu verpflichtet einen DSB zu bestellen.

Der betriebliche DSB hat

  • einen besonderen Kündigungsschutz,
  • Verschiegenheitspflicht und
  • ein Zeugnisverweigerungsrecht.
Der Datenschutzbeauftragte wirkt auf die Einhaltung der Datenschutzvorschriften im Unternehmen hin.

Gem. Art . 39 Abs . 1 b DSGVO treffen den Datenschutzbeauftragten umfassende Überwachungspflichten.

Grundsätzlich müssen alle Unternehmen ihre IT-Systeme so ausgestalten, dass sie die Datenschutzgrundsätze – insbesondere das Gebot der Datenminimierung – der DSGVO wirksam umsetzen. (vgl. Art . 25 I DSGVO)

Das Recht auf Datenschutz – insbesondere privacy by default & design (vgl. Art. 25 DSGVO)- soll bereits bei der Entwicklung und Ausgestaltung von IT-Produkten, Diensten oder Anwendungen berücksichtigt werden.

In der DSGVO wurden umfassende Meldepflichten gegenüber betroffenen Personen und Aufsichtsbehörden festgeschrieben. (vgl. Art. 33, 34 DSGVO) Eine Melde-/ Benachrichtigungspflicht kann durch Verletzung des Schutzes personenbezogener Daten im Wege

  • der Vernichtung,
  • des Verlustes,
  • der zufälligen oder unrechtmäßigen Veränderung,
  • des unbefugten Zugangs und / oder
  • der unbefugten Weitergabe

ausgelöst werden. (vgl. Art. 4 Nr. 12 DSGVO)

Das verantwortliche Unternehmen muss grundsätzlich die Verletzung binnen 72 Stunden gegenüber der Aufsichtsbehörde melden.

Hinweis – praxisrelevante Ausnahme: Keine Pflicht zur Meldung bei der Aufsichtsbehörde besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen führt.

An vielen Stellen der DSGVO stehen die geforderten Maßnahmen in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringt (vgl. Art. 5 I DSGVO). Ein solches risikobasiertes Vorgehen ist u.a. bei Compliance – Managementsystemen üblich und kann hier übertragen werden.

Insoweit eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten Betroffenen zur Folge, so muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen. (vgl. Art. 35 DSGVO)

Das Unternehmen soll

  • die Art,
  • die Umstände,
  • den Zweck und
  • die Ursachen

möglicher Risiken bewerten. In dem Zusammenhang sollen zudem

  • Maßnahmen
  • Garantien und
  • Verfahren

überprüft werden, die mit der Verarbeitung in Verbindung stehen. Im Falle eines hohen Risikos ist die zuständige Datenschutzbehörde hinzuzuziehen. (vgl. Art. 36 DSGVO)

Datenschutzerklärung

Es muss über die stattfindenden Datenverarbeitungen informiert werden. Üblicherweise erfolgt dies mittels einer Datenschutzerklärung, welche auf der Firmenhomepage veröffentlicht wird.

Insbesondere soll über

  • die Kontaktdaten des Unternehmens als verantwortliche Stelle
  • aller Zwecke der Verarbeitung und
  • die Empfänger der Daten
  • Rechtsgrundlagen für die Verarbeitung
  • Speicherfristen
  • Katalog der Betroffenenrechte gem. DSGVO
  • Kontaktdaten der zuständigen Aufsichtsbehörde für Anfragen
    und Beschwerden

aufgeklärt werden.

Datenverarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist eine Dokumentation und Übersicht über Verfahren in einem Unternehmen oder einer Organisation, bei denen personenbezogene Daten verarbeitet werden.

Rechenschaftspflicht

Die Einhaltung der DSGVO ist durch das verarbeitende Unternehmen nachzuweisen.

Neben dem Verzeichnis von Verarbeitungstätigkeiten finden sich in der DSGVO eine Vielzahl von Vorgaben, die eine Dokumentation der getroffenen Datenschutzmaßnahmen fordert und zudem werden aufgrund der DSGVO neue Prozesse im Unternehmen etabliert. Entsprechend sinnvoll erscheint die Einführung eines Datenschutzmanagementsystems.

Für Unternehmen, welche bereits Verfahrensverzeichnisse umfassend führen und ein Datenmanagementsystem haben ist die Integrierung der DSGVO in der Regel ein leichtes und nur mit geringfügigen Anpassungen und kaum nennenswerten internen Zusatzaufwänden verbunden. Zeitintensiv ist zumeist anfänglich der IST – SOLL Abgleich mit der DSGVO.

„Nur eine lückenlose Integrierung von Prozessen und Dokumenten in Ihre bestehenden Systeme erschließt maximale Synergien und reduziert den internen Aufwand maximal. Bei einer Insellösung ist zumeist das Gegenteil der Fall.“

Hinweis – aus aktuellen Gründen – : Bitte Vertrauen Sie nicht auf Beratungshäuser die Ihnen versprechen, dass die Einführung eines Schattensystems oder der Anlage von „Zetteln“ in einem Ordner ein lösungsorientierter Ansatz sei. In der Regel führt die schlichtweg zu Abweichung in der gelebten Praxis und Problemen im Falle von behördlichen Prüfungen.

Die Datenflüsse im Unternehmen müssen ermittelt werden.

Zertifizierung

Zertifizierungsdienstleistungen im Bereich der EU-DSGVO können leider, bereits in Ermangelung zugelassener Zertifizierungsverfahren, leider noch nicht angeboten werden. Der DZD strebt mittelfristig an seinen Kunden neben Schulungsleistungen eine EU-DSGVO Zertifizierung zu ermöglichen.

Auch in der Übergangszeit dürfen Sie uns gerne bei Fragen zur EU-DSGVO kontaktieren. Wir würden uns freuen Sie an einen unserer fachkundigen IT/ EU-DSGVO Experten zu vermitteln. Der guten Ordnung halber weisen wir Sie daraufhin, dass die DZD keine Beratungsdienstleitungen im eigenen Namen durchführt.

Ein Vor-Audit ist zum gegenwärtigen Zeitpunkt im übrigen jederzeit möglich. Gerne dürfen Sie uns diesbezüglich jederzeit kontaktieren.

Schulungen

Sie haben Interesse an einer Schulung? Unsere Referenten bringen Sie und Ihr Team gerne auf den aktuellen Stand der Dinge. Alles Weitere finden Sie in unserem Akademie-Bereich. Gerne sehen wir Ihrer Anfrage entgegen.