Project Description
“Neuerungen durch die Datenschutzgrundverordnung“
Neuerungen durch die Datenschutzgrundverordnung
Ab dem 25.05.2018 gilt die bereits seit Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DS-GVO) und tritt das neue Bundesdatenschutzgesetz (BDSG-neu) ohne Übergangsregelung in Kraft. Die neuen datenschutzrechtlichen Regelungen bringen einige Änderungen mit sich, vieles ist aber nicht neu und wird aktuell vor allem wegen des erhöhten Bußgeldrahmens von bis zu 20 Millionen EUR diskutiert. Folgendes ist dabei insbesondere zu berücksichtigen und möglichst bis Mai umzusetzen:
1. Datenschutzbeauftragter
Unternehmen, die mindestens 10 Personen beschäftigen, die ständig mit der elektronischen Datenverarbeitung befasst sind, müssen gemäß § 4 BDSG-neu (wie bisher, insoweit hat sich durch die Neuregelung nichts geändert) einen Datenschutzbeauftragten bestellen. Es besteht die Möglichkeit, entweder einen fach- und sachkundigen Mitarbeiter (interner Datenschutzbeauftragter) oder einen externen Datenschutzbeauftragten einzusetzen. Die gleiche Verpflichtung gilt nach DS-GVO für Unternehmen, deren Kerntätigkeit die Verarbeitung sensibler mit Daten oder die Durchführung von Verarbeitungsvorgängen die eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erforderlichen machen.
2. Verfahrensverzeichnisse
Nach Art. 30 DS-GVO sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die Verpflichtung gilt aber auch für kleinere Unternehmen, wenn sensible Daten verarbeitet werden z.B. über Herkunft, politische Meinungen, Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten, wenn die Verarbeitung ein Risiko für Rechte und Freiheiten der betroffenen Person birgt, aber auch, wenn die Datenverarbeitung nicht nur gelegentlich erfolgt. Was insoweit unter gelegentlich zu verstehen ist, ist unklar, voraussichtlich wird aber jedes Unternehmen, das regelmäßig Daten (z.B. von Kunden, Lieferanten oder Mitarbeiter) speichert und damit verarbeitet, ein Verfahrensverzeichnis erstellen müssen. Da mit dem Verzeichnis auch die Rechenschafts- und Nachweispflichten nach der DS-GVO, die sämtliche Unternehmen treffen, erfüllt werden können, empfiehlt es sich generell für jedes Unternehmen, unabhängig vom Vorliegen eines Ausnahmetatbestandes ein solches Verzeichnis zu erstellen. Dieses Verzeichnis, das auf Verlangen der zuständigen Datenschutzbehörde vorzulegen ist, muss unter anderem folgendes enthalten:
– Namen und Kontaktdaten des Verantwortlichen;
– gegebenenfalls Name und Kontaktdaten des Datenschutzbeauftragten;
– Zwecke der Datenverarbeitung;
– eine Beschreibung der betroffenen Personen (z.B. Kunden, Mitarbeiter, Lieferanten, usw.) und der betroffenen Daten (z.B. Adresse, Geburtsdatum, usw.);
– gegebenenfalls die Übermittlung der Daten in Drittstaaten (Länder außerhalb der EU), z.B. bei Nutzung von cloud-Diensten;
– Löschpflichten;
– technische und organisatorische Maßnahmen zur Datensicherheit.
3. Überarbeitung der Prozesse
Bei der Erstellung des Verfahrensverzeichnisses lassen sich häufig Schwachstellen feststellen und bietet sich eine geeignete Möglichkeit, die internen Abläufe datenschutzkonform zu gestalten. Dabei gilt es insbesondere die Datenschutzgrundsätze der Rechtmäßigkeit (Bestehen einer Rechtsgrundlage für die Datenverarbeitung, z.B. Verarbeitung im Rahmen der Vertragserfüllung, Bestehen eines berechtigten Interesses oder einer Einwilligung für die Datenverarbeitung), der Zweckbindung (Verarbeitung der Daten nur zu legitimen Zwecken und nicht „auf Vorrat“), der Datenminimierung (Beschränkung der Verarbeitung der Daten auf das erforderliche Maß), der Verhältnismäßigkeit (wozu unter anderem die Einhaltung von Löschfristen gehört) sowie der Datenrichtigkeit umzusetzen.
4. Datenschutzfolgenabschätzung
Soweit mit der Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen verbunden ist, muss zudem eine Vorabeinschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchgeführt werden (so genannte Datenschutz-Folgeabschätzung). Dies ist zum Beispiel bei der umfangreichen Verarbeitung von sensiblen Daten, beim Profiling oder der öffentlichen Videoüberwachung erforderlich.
5. Sicherheit der Datenverarbeitung
Art. 32 DS-GVO verpflichtet Unternehmen dazu, die erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung zu ergreifen. Welche Maßnahmen dies sind hängt insbesondere von der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des bestehenden Risikos ab. Als geeignete Maßnahmen werden vom Gesetz die Pseudonymen und Verschlüsselung von Daten, die Gewährleistung der IT-Sicherheit (insbesondere Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Daten), eine Notfallplanung zur Wiederherstellung der Verfügbarkeit der Daten bei einem Zwischenfall und die Einrichtung von Verfahren zur regelmäßigen Prüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen genannt.
6. Betroffenen- und Auskunftsrechte
Die schon bisher bei der Datenerhebung geltenden Informationspflichten wurden nach Art. 13 und 14 DS-GVO noch erweitert. Die dort geregelten Informationen sind den Betroffenen unverlangt zur Verfügung zu stellen. Darüber hinaus stehen dem Betroffenen nach der Datenschutzgrundverordnung unter anderem das Recht auf Auskunft (Art. 15), das Recht auf Berichtigung (Art. 16) sowie auf Löschung/auf Vergessen werden (Art. 17) zu. Unternehmen sollten sich darauf vorbereiten, auf Verlangen eines Betroffenen zeitnah reagieren können.
7. Meldepflichten
Jeder Datenschutzverstoß muss zukünftig innerhalb von max. 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden (Art. 33 DS-GVO).
8. Verträge zur Auftragsbearbeitung
Werden Daten im Auftrag des Unternehmens durch einen externen Dienstleister verarbeitet (z.B. Nutzung externer Serverkapazitäten, Auslagerung des Kundenservices), ist ein sogenannter Vertrag zur Auftragsverarbeitung zu schließen. Auch insoweit liegt keine wesentliche Neuerung zur bisherigen Auftragsdatenverarbeitung vor, wobei die bisher bestehenden Verträge gegebenenfalls angepasst werden müssen.