Checklisten zur DSGVO gibt es leider bereits viele. Aber eine Checkliste der in Deutschland zuständigen Aufsichtsbehörden gab es bislang nicht. Aber ein Unternehmer bzw. Datenschutzbeauftragter muss wissen, was die zuständigen Datenschutzaufsichtsbehörden bei der Herstellung der Übereinstimmung mit den Vorschriften der DSGVO als besonders wichtig ansehen. Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich von Bund und aus allen Bundesländern haben sich nun endlich geäußert und den Unternehmen 10 Tipps auf den Weg zur Umsetzung der DSGVO mitgegeben. Als Datenschutzbeauftragter sollte man amtlichen Tipps erhöhte Aufmerksamkeit zukommen lassen.

Es handelt sich um folgende "Tipps":

  1. Sensibilisierung: Mitarbeiter über die Inhalte der DSGVO in Kenntnis setzen
  2. Verfahrensverzeichnis: künftig Verarbeitungsverzeichnis aktualisieren und alle Datenverarbeitungsprozesse erfassen
  3. Datenverarbeitungsprozesse daraufhin prüfen, ob sich Unzulässigkeiten nach der DSGVO ergeben
  4. Rechtsvorschriften für Datenverarbeitung von Minderjährigendaten (< 16 Jahre) besonders prüfen
  5. Für jeden Datenverarbeitungsprozess überprüfen, ob Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen einzurichten ist
  6. Verträge mit Dienstleistern, die personenbezogene Daten des Unternehmens verarbeiten, auf Konformität mit der DSGVO prüfen
  7. Datenschutzfolgenabschätzung implementieren
  8. Regeln, nach welchem Verfahren sich der Datenschutzbeauftragte mit der Aufsichtsbehörde abstimmt
  9. Informationspflichten gegenüber den Betroffenen umsetzen und auf weitere Betroffenenrechte (Berichtigung, Löschung, Auskunft) per Reaktionsplan einrichten
  10. Datenschutzbezogene Pflichterfüllung dokumentieren, vor allem Verarbeitungsprozesse, Datenschutzvorfälle und Weisungen gegenüber dem Dienstleister

Na klasse - und das war es nun? Damit soll man sich nun auf die allseits gefürchtete EU-Datenschutz-Grundverordnung optimal vorbereiten können?

Das können wir von B-NetCons GmbH besser: Hier die wichtigsten Änderungen/Fakten durch die EU-DSGVO:

Überblick über die obigen Änderungen

Insgesamt bringt die DSGVO für Unternehmen erheblichen Mehraufwand mit sich. Zwar sind sich die DSGVO und das BDSG in Aufbau und Systematik durchaus ähnlich. Unternehmen müssen aber umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der DSGVO zu entsprechen. Der nachstehende Überblick zeigt, auf welche Vorgaben der DSGVO man bei der Umsetzung der neuen Anforderungen besonders achten sollte.

Die Datenschutz-Grundverordnung enthält viele Anforderungen über die Art der Erfassung, Aufbewahrung und Nutzung persönlicher Informationen. Dies beinhaltet nicht nur, wie persönliche Daten in den Systemen erkannt und geschützt werden, sondern auch wie neue Transparenzanforderungen eingebunden, Verstöße gegen persönliche Daten erkannt und gemeldet sowie Datenschutzpersonal und -mitarbeiter geschult werden müssen.
Angesichts der enormen Bedeutung sollten Unternehmen mit den Vorbereitungen nicht warten, bis die Verordnung am 25. Mai 2018 in Kraft tritt, sondern spätestens jetzt mit der Prüfung der Vorgehensweisen beim Datenschutz und bei der Datenverwaltung beginnen. Verstöße gegen die Datenschutz-Grundverordnung werden ganz sicher mit umfangreichen Reputationsschäden einhergehen.

Höhere Bußgelder

Art. 83 DSGVO sieht für Unternehmen Bußgelder von bis zu 4 Prozent des globalen Umsatzes vor. An Verstößen gegen die DSGVO beteiligte natürliche Personen müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen. Bei Unternehmen kommen mit der umsatzbezogenen Berechnung noch deutlich höhere Bußgelder in Betracht. Bei großen Unternehmen oder Konzernen können durchaus dreistellige Millionenbeträge erreicht werden.

Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht drastisch. Bislang sah § 43 BDSG Bußgelder von maximal 300.000 Euro vor. Der kommende, auf den Umsatz basierte Bußgeldrahmen ermöglicht Sanktionen, die bei großen Unternehmen ohne weiteres dreistellige Millionenbeträge erreichen können. Die Aufsichtsbehörden sollen sicherstellen, dass die Geldbußen für Verstöße gegen die Verordnung “wirksam, verhältnismäßig und abschreckend“ sind.

Erweiterte Haftung für Verantwortliche und für Auftragsverarbeiter

Neben den Bußgeldern steigen die Risiken für Unter- nehmen auch im Hinblick auf die zivilrechtliche Haftung wegen tatsächlichen oder behaupteten Datenschutz- verstößen. Nach Art. 82 Abs. 1 DSGVO sind materielle und immaterielle Schäden zu erstatten, die auf Verstößen gegen die Verordnung beruhen. Die ausdrückliche Nennung immaterieller Schäden kann in der Praxis zu einer erheblichen Veränderung gegenüber der bisherigen Rechtslage führen. Deutsche Gerichte waren in der Vergangenheit zurückhaltend damit, betroffenen Personen wegen Datenschutzverstößen nennenswerte Schadensersatzzahlungen zuzusprechen. Hier dürfte der EuGH künftig auf der Grundlage der Verordnung neue Maßstäbe anlegen. Eine weitere Neuerung ist die ausdrückliche Erweiterung der Haftung auch auf Auftragsverarbeiter, Art. 82 Abs. 1 DSGVO.

Stellung und Haftung des Datenschutzbeauftragten

Datenschutzbeauftragte dürfen sich künftig über eine wichtigere Stellung im Unternehmen freuen. Umgekehrt müssen sie sich künftig jedoch auch auf einen schärferen Haftungsmaßstab einstellen.

Grundsätzlich sieht die Verordnung eine Pflicht zur Bestellung eines Datenschutzbeauftragten nur unter engenVoraussetzungenvor.1Falls aber das Recht eines Mitgliedstaates eine Bestellung vorschreibt, müssen Unternehmen zwingend einen Datenschutzbeauftragten bestellen, Art. 37 Abs. 4 DSGVO. Sofern der deutsche Gesetzgeber § 4f BDSG nicht aufhebt oder durch eine andere Regelung ersetzt, bleibt es bei den dort genannten Voraussetzungen für die Bestellung eines Datenschutzbeauftragten. Es besteht derzeit auch kein Anlass zu der Annahme, dass Art. 37 bis Art. 39 DSGVO den bislang in § 4f Abs. 3 BDSG geregelten Kündigungsschutz, das Benachteiligungsverbot oder den Schutz vor Widerruf der Bestellung verdrängen. Vielmehr dürfte es sich hier um weiterhin geltende flankierende einzelstaatliche Regelungen zur DSGVO handeln.
Zu den Aufgaben des Datenschutzbeauftragten zählen unter anderem: die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten beim Datenschutz, die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie die Überwachung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, Schulungen und Überprüfungen. Zudem berät er auf Anfrage zu der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung, arbeitet mit der Aufsichtsbehörde zusammen und ist deren Ansprechpartner.

Nach § 4f Abs. 1 Satz 1 BDSG „wirkt der Datenschutzbeauftragte auf die Einhaltung“ der Vorschriften über den Datenschutz hin. Danach hat er derzeit eine beratende und unterstützende Funktion und übernimmt keine Gewähr dafür, dass die verantwortliche Stelle alle datenschutzrechtlichen Standards umsetzt. Anders als nach dem bisherigen Recht sieht Art. 39 Abs. 1 lit. b DSGVO umfassende Überwachungspflichten vor. Diese gehen ihrem Wortlaut nach über ein bloßes „Hinwirken“ deutlich hinaus. Es bleibt daher abzuwarten, ob und in welchem Umfang Gerichte und Behörden Datenschutzbeauftragte künftig im Rahmen einer straf- und ordnungswidrigkeitenrechtlichen Verantwortlichkeit als „Überwachergaranten“ einordnen werden

Erweiterte Dokumentations- und Nachweispflichten

Die DSGVO sieht für Verantwortliche und Auftragsver- arbeiter deutlich erweiterte Nachweispflichten vor (sogenannte „accountability“). Art. 5 Abs. 2 DSGVO schreibt vor, dass der für die Verarbeitung Verantwortliche nachweisen können muss, dass er die in Art. 5 Abs. 1 DSGVO geregelten Datenschutzgrundsätze einhält. Verstößt ein verantwortliches Unternehmen gegen diese Vorgabe, drohen Bußgelder von bis zu 4 Prozent des Umsatzes. Nach Art. 24 Abs. 1 DSGVO muss der für die Verarbeitung Verantwortliche nachweisen können, dass er personenbezogene Daten in Übereinstimmung mit der Verordnung verarbeitet. Auftragsverarbeiter müssen dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, damit der Verantwortliche nachweisen kann, dass er seine in Art. 32 bis Art. 36 DSGVO geregelten Pflichten erfüllt.

Datenschutz-Folgenabschätzung

Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG ab. Hat eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge, so muss der Verantwortliche eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Hierbei sollen insbesondere Eintrittwahrscheinlichkeit und Schwere möglicher Risiken bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten. Dabei soll es auch Maßnahmen, Garantien und Verfahren prüfen, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können.
Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde zu Rate ziehen, sofern er keine Maßnahmen zur Eindämmung des Risikos trifft.

Risikobasierter Datenschutz

An vielen Stellen der DSGVO stehen die von der Verordnung geforderten Maßnahmen in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringt. Dieser risikobasierte Ansatz beim Datenschutz ist gerade im Hinblick auf den Verhältnismäßigkeitsgrundsatz im Rahmen einer Verarbeitung nach Treu und Glauben folgerichtig, vgl. Art. 5 Abs. 1 DSGVO. Ein solches risikobasiertes Vorgehen ist gerade bei sogenannten Compliance Management Systemen (CMS) üblich und zweckmäßig. Daher lassen sich viele Erfahrungen aus Compliance-Strukturen und dem Risikomanagement auf den Datenschutz nach der DSGVO übertragen.

Globale Anwendung der DSGVO

Die Verordnung erweitert den räumlichen Anwendungsbereich des EU-Datenschutzrechts massiv. Die DSGVO gilt zunächst für die Datenverarbeitung im Rahmen von Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union, Art. 3 Abs. 1 DSGVO. Entscheidend ist dabei der Ort der Niederlassung und nicht der Ort der Datenverarbeitung. Das Niederlassungsprinzip der Verordnung wird durch das sogenannte „Marktortprinzip“ des Art. 3 Abs. 2 DSGVO noch erweitert. Nach dieser Vorschrift kann die Verordnung auch auf Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der EU Anwendung finden.

Die DSGVO gilt zum einen für Datenverarbeitungen, die dazu dienen, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, Art. 3 Abs. 1 lit. a DSGVO. Hierbei ist unerheblich, ob für die angebotenen Waren oder Dienste eine Zahlung zu leisten ist. Zum anderen findet die Verordnung auch auf Datenverarbeitungen Anwendung, die der Beobachtung von betroffenen Personen in der Europäischen Union dienen.

Vorrang der DSGVO vor anderen Rechtsvorschriften der Mitgliedsstaaten

Die DSGVO wirkt nach Art. 288 Abs. 2 Satz 1 AEUV unmittelbar und direkt, ohne dass es ihrer innerstaatlichen Umsetzung bedarf. Als EU-Verordnung geht sie Rechts- vorschriften der einzelnen Mitgliedsstaaten vor. Sofern die DSGVO keine ausdrücklichen Möglichkeiten für einzelstaatliche Regelungen vorsieht, verdrängt die Verordnung Vorschriften der Mitgliedsstaaten zur Datenverarbeitung. Die DSGVO ist anders als das BDSG kein Auffanggesetz, sondern eine Vorrangregelung. Die Verordnung geht “normalgesetzlichen” Regelungen wie etwa dem Kreditwesengesetz, dem Betriebsverfassungsgesetz oder den Sozialgesetzbüchern vor, sofern diese nicht die in der DSGVO aufgestellten Anforderungen an Ausnahmevorschriften zur DSGVO erfüllen.

Erweiterte Transparenzvorschriften

Künftig müssen Unternehmen betroffene Personen deutlich umfassender als bislang und in einer nachvollziehbaren Weise darüber informieren, wie sie deren Daten verarbeiten. Nach Art. 5 Abs. 1 DSGVO zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der Verordnung. Sowohl Verstöße gegen Art. 5 DSGVO als auch gegen die Transparenzvorschriften der Art. 12 bis Art. 15 DSGVO werden mit dem erhöhten Bußgeldrahmen von bis zu 4 Prozent des Umsatzes geahndet. Grundsätzlich muss der Verantwortliche betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten, Art. 12 Abs. 1 DSGVO. Dabei sehen vor allem Art. 12 bis Art. 15 DSGVO umfangreiche Unterrichtungsrechte betroffener Personen und Auskunftspflichten Verantwortlicher vor. Gerade die Unterrichtungspflichten nach Art. 13 und Art. 14 DSGVO gehen weit über die Vorgaben der bislang geltenden § 4 Abs. 3 und § 33 BDSG hinaus.

Die Unterrichtungspflichten nach Art. 13 DSGVO entfallen, wenn und soweit die betroffene Person bereits über die fragliche Information verfügt. Für die Informationspflichten bei Daten, die nicht bei der betroffenen Person erhoben wurden, gelten nach Art. 14 Abs. 5 DSGVO etwas weitgehendere Ausnahmen, bei deren Vorliegen der Verantwortliche von einer Unterrichtung absehen kann.

Datenstatus und Dokumentationen hinsichtlich Vereinbarkeit mit DSGVO prüfen

Wichtig wird der aktuellen Datenstatus hinsichtlich folgender Fragestellungen:

  • Welche persönlichen Daten wurden gespeichert?
  • Woher wurden diese Daten bezogen und an wen wurden diese weitergegeben?
  • Wo im Unternehmen wurden Schwachstellen identifiziert und wo kann das Unternehmen haftbar gemacht werden?
  • Wo befinden sich die Daten derzeit?
  • Wer klassifiziert diese Daten?
  • Wie werden diese Daten klassifiziert?
  • Wie lange sind diese Daten in den Systemen gespeichert und wann werden diese gelöscht?
  • Wie ist aktuelle Situation dieser Daten in bezug auf die DSGVO?
  • Ist eine Datenschutzfolgen-Abschätzung vorgeschrieben?
  • Ist bereits ein Datenschutzverantwortlicher vorhanden?
  • Sind die Grundprinzipien des Datenschutzes eingehalten worden?
  • Kann die Informationspflicht laut DSGVO erfüllt werden?

Bitte beachten: Betriebsblindheit bei internen Prüfern einkalkulieren! Gegebenenfalls externe Spezialisten hinzuziehen und Audit durchführen lassen!

Eigene Datenschutzerklärung an EU Datenschutz-Grundverordnung anpassen

Überprüfen der derzeitigen Datenschutzerklärung:

  • Stimmt die eigene Datenschutzerklärung mit den DSGVO Regularien überein und/oder müssen Aktualisierungen vorgenommen werden
  • Privatsphäre durch Design und Standards in alle Projekte einbetten (nicht mehr persönliche Daten als benötigt sammeln, Implementierung von Anonymisierung, Pseudonymisierung sowie Verschlüsselung).

Datensicherheit

Eine weitere für die Praxis wesentliche Änderung ist das Bußgeldrisiko bei unzureichender Datensicherheit. Bislang waren Verstöße gegen § 9 BDSG nicht bußgeldbewehrt. Dies ändert sich mit der Verordnung grundlegend. Art. 32 DSGVO regelt die künftigen Vorgaben zur Datensicherheit. Verstöße gegen diese Vorschrift werden nach der Verordnung mit Bußgeldern von bis zu 2 Prozent des Umsatzes geahndet. Das ist eine wesentliche Änderung gegenüber dem BDSG. Denn Verstöße gegen § 9 BDSG waren nicht bußgeldbewehrt

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Art. 25 Abs. 1 DSGVO regelt den Grundsatz der „privacy by design“; Abs. 2 die Anforderung „privacy by default“. Unternehmen müssen ihre IT-Systeme nach Art. 25 Abs. 1 DSGVO grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen, insbesondere das Gebot der Datenminimierung – sie sollen also nur gerade so viele Daten erheben, wie zur Erfüllung des verfolgten Zwecks erforderlich.

Zudem sollen IT-Systeme so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolg- ten Zweck erforderlich ist, Art. 25 Abs. 2 DSGVO. Maßnahmen zur Umsetzung dieser Anforderungen sollen etwa darin liegen, dass Verantwortliche perso- nenbezogene Daten minimieren und Daten so schnell wie möglich zu pseudonymisieren. Das Recht auf Datenschutz soll bereits bei der Entwicklung und Ausgestaltung von IT-Produkten, Diensten oder Anwendun- gen berücksichtigt werden. Verstöße gegen das Gebot, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zu gewährleisten, können mit Bußgeldern von bis zu 2 Prozent des Umsatzes des Unternehmens geahndet werden.

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Die Verordnung sieht in Art. 33 und Art. 34 DSGVO umfassendere Meldepflichten gegenüber der Aufsichts- behörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor, als die bisherige Rege- lung in § 42a BDSG dies tut.

Wesentliche Voraussetzung für eine mögliche Melde- beziehungsweise Benachrichtigungspflicht ist eine Da- tenschutzverletzung. Nach Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“ eine „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu perso- nenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Diese Definition ist deutlich weiter als die bislang in § 42a BDSG geregelten Tatbestandsmerkmale.

Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung un- verzüglich und möglichst innerhalb von 72 Stunden melden, nachdem dem Verantwortlichen die Verletzung bekannt wurde. Ausnahmsweise besteht keine Pflicht zur Meldung bei der Aufsichtsbehörde, wenn die Verlet- zung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen führt.

Hat eine Datenschutzverletzung darüber hinaus voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge, muss der Verantwortliche grundsätzlich die hiervon betroffenen Personen ohne unangemessene Verzögerung benachrichtigen, Art. 34 Abs. 1 DSGVO. Ausnahmsweise kann der Verantwortliche von der Benachrichtigung absehen, wenn er Risiken für die betroffenen Personen durch geeignete technische und organisatorische Sicherheitsvorkehrungen oder durch nachfolgende Maßnahmen ausgeschlossen hat, vgl. Art. 34 Abs. 3 DSGVO. Fehler bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen werden mit Bußgeldern von bis zu 2 Prozent des Umsatzes geahndet.

Löschen von Daten und Recht auf Vergessenwerden

Die DSGVO sieht umfassendere Löschpflichten vor als bislang § 35 BDSG. Künftig regelt Art. 17 DSGVO das Recht auf Löschung personenbezogener Daten. Der Verantwortliche muss personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft. Einer der dort aufgeführten Gründe kann auch darin liegen, dass die betroffene Person nach Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegt. Im Falle eines solchen Widerspruchs muss der Verantwortliche diese Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen, Art. 17 Abs. 1 lit. c DSGVO.

Wenn ein Verantwortlicher zu löschende personenbezogene Daten öffentlich gemacht hat, muss er andere Verantwortliche, die diese Daten verarbeiten, davon informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO. Art. 17 Abs. 3 DSGVO regelt die Ausnahmen von den Löschpflichten. Diese Ausnahmeregelungen sind insgesamt enger gefasst als im bisherigen Recht. Fehler bei der Verpflichtung zum Löschen von personenbezogenen Daten werden mit Bußgeldern von bis zu 4 Prozent des Umsatzes geahndet.

Zweckänderungen und Vereinbarkeit

Grundsätzlich entscheidet der bei der Erhebung von Daten verfolgte Zweck über die mögliche Zulässigkeit ihrer weiteren Verarbeitung. Wenn personenbezogene Daten für einen anderen Zweck verarbeitet werden sollen als den, für den sie erhoben wurden, spricht man von einer Zweckänderung. Im bisherigen Recht waren die Voraussetzungen für die Übermittlung oder Nutzung personenbezogener Daten für einen anderen Zweck vor allem in § 28 Abs. 2 BDSG geregelt. In der Verordnung sind Zweckänderungen künftig in Art. 6 Abs. 3 DSGVO geregelt. Künftig soll die Verarbeitung personenbezogener Daten für einen anderen Zweck als den, zu dem die Daten erhoben werden, zunächst zulässig sein. Voraussetzung ist, dass die betroffene Person in eine solche Zweckänderung eingewilligt hat oder eine Rechtsvorschrift im Sinne von Art. 23 Abs. 1 DSGVO dies erlaubt.

Der in der Praxis wichtigste Anwendungsfall für Zweckänderungen dürfte in einer Verarbeitung für Zwecke liegen, die mit dem ursprünglichen Zweck „vereinbar“ sind. Der Verantwortliche muss diese Vereinbarkeit vor der Zweckänderung prüfen. Kriterien hierfür sind die Verbindung zwischen dem ursprünglichen und dem neuen Zweck, der Kontext der Datenerhebung, die Art der Daten, die möglichen Folgen der beabsichtigten Weiterverarbeitung sowie das Vorhandensein angemessener Garantien. Solche Garantien können etwa in der Verschlüsselung oder Pseudonymisierung personenbezogener Daten liegen.

Erleichterter Datenaustausch im Konzern

Die DSGVO stellt weniger strenge Anforderungen an die Übermittlung personenbezogener Daten zwischen Verantwortlichen, die Teil einer Unternehmensgruppe sind. Denn Art. 6 Abs. 1 lit. (f) DSGVO differenziert anders als das BDSG nicht zwischen Datenverarbeitungen für eigene Zwecke und Datenverarbeitungen zur Wahrung berechtigter Interesse Dritter. Die Vorschrift erlaubt die Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Erwägungsgrund 37 stellt zudem klar, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln. Dies soll ausdrücklich auch für die Verarbeitung personenbezogener Daten von Kunden und Beschäftigten gelten.

Koppelungsverbot bei Einwilligungen

Die Einwilligung nach Art. 7 DSGVO soll durch eine eindeutige Handlung erfolgen, mit der die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekundet, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, sollte diese keine rechtliche Handhabe liefern, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Verantwortliche dürfen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung nicht mehr davon abhängig machen, dass die betroffene Person in Datenverarbeitungen einwilligt, die für die Erfüllung dieses Vertrags nicht erforderlich sind.

Bewertung der Veränderungen durch die DSGVO

Die DSGVO bringt gegenüber dem BDSG erhebliche Veränderungen. Unternehmen müssen zusätzliche Anforderungen erfüllen. Weitgehend jede neue Vorgabe ist zudem bußgeldbewehrt. Unternehmen sind gut beraten, die notwendigen Veränderungen zeitnah umzusetzen. Dies erfordert vor allem die Anpassung von Arbeitsabläufen und anderen Prozessen, IT- Systemen und Strukturen der Datenverarbeitung. Schwerpunkte liegen dabei auf Transparenz und Dokumentation. Gerade bei größeren Unternehmen wird die Einführung oder Anpassung effektiver Datenschutz Management Systeme hierbei eine zentrale Rolle spielen.

Rechte aus der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung gewährleistet in der EU ansässigen Personen durch einen Katalog von Betroffenenrechten die Kontrolle über ihre personenbezogenen Daten. Dies schließt die
folgenden Rechte ein:

  • Zugriff auf leicht zugängliche und klare sowie verständliche Informationen über die Art der Nutzung personenbezogener Daten
  • Zugriff auf personenbezogene Daten
  • Löschung oder Korrektur fehlerhafter personenbezogener Daten
  • unter bestimmten Umständen Richtigstellung und Löschung personenbezogener Daten (so genanntes “Recht auf Vergessenwerden“)
  • Einschränkung der und Widerspruch gegen Verarbeitung personenbezogener Daten
  • Erhalt einer Kopie personenbezogener Daten
  • Widerspruch gegen die Verarbeitung von Daten für bestimmte Nutzungsarten, wie etwa Marketing oder Profilerstellung
  • Verpflichtung der Organisationen, Datenlecks innerhalb von 72 Stunden an die zuständigen Behörden zu melden 

Was sind eigentlich die personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Es gibt keinen Unterschied zwischen privaten, öffentlichen oder beruflichen Rollen einer Person. Personenbezogene Daten umfassen (unter anderem!):

  • Name
  • E-Mail
  • Adresse (Strasse, PLZ & Ort)
  • Social-Media-Beiträge
  • Physische Informationen
  • Physiologische Informationen
  • Genetische Informationen
  • Medizinische Informationen
  • Bankdetails
  • IP-Adresse
  • Cookies
  • Kulturelle Identität
  • Sexuelle Identität

Auftragsverarbeiter

Die Datenschutz-Grundverordnung gilt für die verantwortliche Stelle und für Auftragsverarbeiter. Die verantwortliche Stelle ist für die Daten verantwortlich; ein Auftragsverarbeiter verarbeitet die Daten für den Controller. Controller dürfen nur Auftragsverarbeiter verwenden, die Maßnahmen ergreifen, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Ein Controller bestimmt, warum und wie persönliche Daten verarbeitet werden, während der Auftragsverarbeiter die Vorgänge an persönlichen Daten im Auftrag des Controllers durchführt. Unter der Datenschutz-Grundverordnung haben die Auftragsverarbeiter zusätzliche Pflichten übernommen und haften bei fehlender Einhaltung.
Die Pflichten eines konformen Auftragsverarbeiters:

  • Verarbeiten von Daten gemäß Anweisung
  • Verwenden geeigneter technischer und organisatorischer Maßnahmen zur Verarbeitung persönlicher Daten
  • Löschen oder Zurücksenden der Daten an den Controller
  • Sicherstellen der Berechtigung bei Kontakt mit anderen Auftragsverarbeitern

Aufwand für die Sicherstellung der EU-Datenschutz-Grundverordnung

Der Aufwand wird von Unternehmen zu Unternehmen variieren – je nachdem wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Unternehmensprozesse haben. Er hängt auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse aussieht.
Im Folgenden sind einige Fragen und Faktoren genannt, die für die Aufwandsabschätzung hilfreich sein können:

  • Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis
  • Anzahl der noch zu dokumentierenden Verfahren?
  • Muss ein Verfahrensverzeichnis neu erstellt werden?
  • Mit wie vielen Abteilungen ist zu sprechen?
  • Benötigte Zeit für Überarbeitung einer (mehrerer) Datenschutzerklärung(en) 
  • Benötigte Zeit für Überprüfung der Verfahren, für die eine gesonderte Einwilligung benötigt wird
  • Verhandlung mit dem Betriebsrat über Ergänzung / Änderung von Betriebsvereinbarung(en)
  • Anzahl Auftragsdatenverarbeitung-Vereinbarungen
  • Zeit für Überprüfung dieser Vereinbarungen
  • Zeit für ggf. Neuverhandlung mit Vertragspartner dieser Auftragsdatenverarbeitungen
  • Überarbeitung des bisherigen Prozesses, Einbeziehung aller Beteiligten
  • Schulungen der beteiligten Mitarbeiter
  • Erhöhter Dokumentationsaufwand wg. Rechenschaftspflicht

Vorgaben zur Website-Compliance

Schon heute besteht die Verpflichtung, Besucher der eigenen Website über die Erhebung und Verarbeitung personenbezogener Daten zu informieren. Die EU-DSGVO weitet die Pflichten des Seitenbetreibers aus, dies führt zu einer Abkehr vom Telemediengesetz!

Die rechtliche Grundlage, die Seitenbetreiber bislang berücksichtigen müssen, ist das Telemediengesetz (TMG). Die EU-DSGVO wird das TMG jedoch ablösen und damit einige Vereinfachungen mit sich bringen und mehr Rechtssicherheit schaffen. Die genauen Verpflichtungen sind aus der gesamten EU-DSGVO abzuleiten, wie z.B. die Bereitstellung von Informationen, die mit der Informationspflicht einhergehen. Ebenso schreibt die Verordnung eine hohe Transparenz sowie das Verwenden einfacher Sprache vor.

Die Notwendigkeit datenschutzkonformer Erklärungen beleibt bestehen, um Seitenbesucher angemessen belehren zu können. Als typische Bereiche, die hiervon betroffen sind, gelten unter anderem Social Media, Web-Analyse und der Einsatz von Werbemitteln.

Grund hierfür ist unter anderem die Tatsache, dass die Rechtsprechung der vergangenen Jahre viele spezifische Urteile mit sich gebracht hat. Für deren Ursachen kann die EU-DSGVO nicht immer eine Grundlage schaffen. Problem ist vor allem der technische Fortschritt, dem der Gesetzgeber nacheilt.

Das bedeutet, das jedes Impressum einer Firma auf das Telemediengesetz (TMG) überprüft werden muss und gegebenenfalls auf die EU-DSGVO angepasst werden muss!

Unterschied zwischen B2C und B2B in Bezug der EU-Datenschutz-Grundverordnung

Eine Unterscheidung zwischen B2C- und B2B-Sachverhalten ist im verfügenden Teil der DSGVO nicht vorgesehen. Die DSGVO findet gemäß Art. 2 Abs. 1 Anwendung, sobald personenbezogene Daten natürlicher Personen betroffen sind. Erwägungsgrund 14 DSGVO erklärt einschränkend die Verordnung auf Unternehmen sowie auf “personenbezogene Daten juristischer Personen“ als nicht anwendbar. Die Vorgaben der DSGVO sollen also nicht auf Informationen über juristische Personen Anwendung finden und dienen nicht dem Schutz eines “Jedermann-Grundrechts“ (so jedoch die noch geltende Rechtslage bspielsweise in Dänemark und Österreich, wo bislang auch juristische Personen datenschutzrechtlichen Schutz genießen). Zentraler Anknüpfungspunkt für die Anwendung der DSGVO ist der Schutz natürlicher Personen. Vorgaben des Wettbewerbsrechts sind  auch weiterhin zu beachten.

Speziell dieser letzte Punkt kommt scheinbar für viele Unternehmen extrem überraschend, häufig scheint hier noch dem Irrglauben nachgegangen worden zu sein, B2B-Daten unterlägen nicht der DSGVO. Grund genug, nun extrem schnell zu handeln.

Und was ist der Grund für die zögerliche Haltung speziell in Deutschland? Es kann auf zwei Punkte reduziert werden - mangelnde bzw. fehlende Voraussetzungen sowie Unsicherheit.

Fehlendes Verfahrensverzeichnis

Oftmals fehlen einfach die organisatorischen Voraussetzungen für den Datenschutz im Unternehmen. Häufig gibt es kein Verfahrensverzeichnis, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Ohne ein solches Verfahrensverzeichnis ist die Anpassung der eigenen Prozesse an die DSGVO schwierig. Ein Verfahrensverzeichnis ist aber heute schon Pflicht, künftig aber noch dringender erforderlich. Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen zukünftig eine zentrale Rolle spielen.

Absolutes No-Go

Die EU-DSGVO ist eine rechtlich bindende Verordnung - aber nur weil da rechtlich steht, hat das nicht nur was mit der Rechtsabteilung zu tun. Hier ist JEDE Abteilung im Unternehmen gefordert - und ganz speziell Marketing und Vertrieb. Natürlich sind mindestens Geschäftsleitung, Compliance, Security, Finanzen, Forschung und Entwicklung sowie Personalabteilung und Betriebsrat ebenso gefordert!

Alle Abteilungen des Unternehmens haben Hand in Hand mit der IT-Abteilung zusammenzuarbeiten, da diese für die Umsetzung der Vorgaben aus den Abteilungen zuständig ist.

Größere Hürden bei der Kundenakquise

Ja, auch in B2B wird es schwieriger, aber es bleiben weiterhin Möglichkeiten bei berechtigtem Interesse seitens des Unternehmens. Gerade der Grundsatz des berechtigten Interesses ist im Detail aber noch nicht hinreichend genug definiert. Bis diese Definition final vorliegt, empfehlen wir Zurückhaltung.

Double-Opt-in als Standard etablieren

Sollte eigentlich heute bereits Standard sein!

Datenverarbeitung zur Geschäftsanbahnung ist weiterhin zulässig

Grundsätzlich gilt, dass die Verarbeitung im Rahmen einer Geschäftsanbahnung, also der Leadgenerierung, beziehungsweise von vorvertraglichen Maßnahmen zulässig ist – insbesondere, wenn Sie auf Angebotsanfragen reagieren. Hierbei ist der Interessent trotzdem so zügig wie möglich über Art, Umfang und Zweck der Datenverarbeitungen zu informieren. Besonders relevant ist dieser Punkt bei der Arbeit mit zugekauften Adresspools zur Reichweitensteigerung. Sie müssen beachten, dass dem Verkäufer der Adresse entsprechende, verordnungskonforme Einwilligungen der Daten-Owner vorliegen und Sie diese ebenfalls revisionssicher vorhalten können.

Auch die Auftragsverarbeitung von erhobenen Daten durch Dritte unterliegt ab sofort der Informationspflicht.

Die Vorbereitung ist zeitintensiv aber machbar

Im Vorfeld des Inkrafttretens müssen alle aktuellen Prozesse und Datenverarbeitungen generell in allen relevanten Abteilungen intensiv geprüft und dokumentiert werden. Hierbei können potenzielle Risiken und Schwachstellen identifiziert und ausgeräumt werden, bevor es zu kostenintensiven Repressalien kommt und die Reputation Ihres Unternehmens beschädigt wird. Stellen Sie eine lückenlose und permanente Rundumsicht auf die relevanten Informationen sicher, dann sind Sie weiterhin handlungsfähig!

Umsetzung Schritt-für-Schritt

Wie jedes andere Projekt mit Aussicht auf gute Umsetzung zerlegen Sie das Projekt in soviele kleine Projekt-Schritte wie möglich und delegieren die Verantwortung an diese kleinen Projekt-Schritte an Mitarbeiter aus den einzelnen Abteilungen - wie immer halt...

  • Implementierung der DSGVO als Prozess/Datenschutz-Policy

    • Zeitplan erstellen

    • Budget klären / abrufen

    • Verantwortlichkeiten klären

    • Schulungen für Kernpositionen nötig? (Datenschutzbeauftragte / Techniker)

    • Qualität des Prozesses sichern

    • Ziele und To Dos definieren

  • Maßnahmen durchführen und implementieren

    • Technische Infrastruktur schaffen oder auf den neuesten Stand bringen (privacy by design / default)

    • Kundeninformationen überarbeiten

    • Informationen überall dort einbinden, wo Daten erhoben werden

    • Datenschutzverantwortlichen nennen

    • Informationen für Mitarbeiter überarbeiten, Schulungen vorbereiten

    • Sicherheitsmechanismen einrichten (Zugang und Zugriff beschränken)

    • Sensible Vorgänge nur an geeignete Menschen übertragen

    • Dokumentation erweitern

    • Systemwarnungen einrichten (Alarm bei unberechtigtem Zugriff oder auffälligen Datenbewegungen)

  • Mitarbeiter schulen/sensibilisieren

    • IT-Abteilung (Prinzipien privacy by design/default, etc.)

    • Datenschutzbeauftragter (neue Aufgaben, erweiterte Haftung)

    • HR (Einstellung neuer Mitarbeiter/Ausscheiden von Kollegen)

    • Mitarbeiter mit Datenkontakt (Sensibilisierung)

    • Leitfaden für neue Mitarbeiter

  • Prozesse dokumentieren

    • Automatische Dokumentation, wo möglich (Logfiles, etc.)

    • Dokumentation laut DSGVO anpassen

  • Notfallkonzept erstellen

    • Umfang der Datenpanne (wie viele?)

    • Betroffene Daten (welche?)

    • Betroffene Kunden (wie viele, welche?)

    • Informations-/Meldepflichten erfüllen

    • Sicherheitslücken schließen

    • Schäden beheben

  • Nachhaltigkeit sichern

    • Regelmäßige Schulungen, um Bewusstsein zu erhalten

    • Aktuelle Gesetze und Urteile verfolgen

    • Sofortige Anwendung der Vorgaben bei Einführung neuer Produkte

    • Audit nach längerer Zeit immer wieder wiederholen

Natürlich unterstützen wir Sie mittels eines externen Audits nach Bedarf sowohl zur erstmaligen Umsetzung als auch zur immer widerkehrenden Überprüfung mit unserem bewährten Quick-Check!

Interessiert an mehr? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!