In 5 Schritten zur DS-GVO

/in /von

Seit Mai 2016 ist die endgültige Fassung der Datenschutz-Grundverordnung (DS-GVO) verabschiedet und veröffentlicht. Unternehmen haben nun bis zum 25. Mai 2018 Zeit, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Denn dann gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab. Welche Maßnahmen Unternehmen bis dahin ergreifen sollten, zeigt der folgende Beitrag.

1. Der Status quo

In einem ersten Schritt sollte eine Bestandsaufnahme der vorhandenen datenschutzrechtlich relevanten Prozesse durchgeführt werden, um zu sehen an welchen Stellen das Unternehmen überhaupt Änderungsbedarf hat. Dann kann im Rahmen dieser sogenannten GAP-Analyse geklärt werden, auf welchem Stand sich der Datenschutz im Unternehmen befindet.

Auf Grund der daraus resultierenden Feststellungen kann dann geprüft werden, inwieweit der Ist-Zustand von den Anforderungen der DS-GVO abweicht. Anschließend sollte ein geeigneter Fahrplan für die verbleibende Umsetzungszeit festgelegt werden. So lässt sich systematisch mit entsprechenden Maßnahmen nach und nach der gewünschte Soll-Zustand erreichen.

2. Verfahrensverzeichnisse aufbauen

Das Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e BDSG. Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Die Pflicht ein solches Verfahrensverzeichnis zu führen trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Inhaltlich werden aber geringere Anforderungen an das Verfahrensverzeichnis eines Auftragsverarbeiters gestellt. Aus Art. 30 Abs. 5 DSGVO ergeben sich auch Ausnahmen für die Erstellung eines Verfahrensverzeichnisses: Die Pflicht zur Führung gilt zum Beispiel dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat und „die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt“ oder die Verarbeitung keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten betrifft.

3. Pflicht statt Kür – das Datenschutz-Management-System

Die DS-GVO verpflichtet Unternehmen zudem ein Datenschutz-Management-System einzuführen. Zentrale Normen sind hier Art. 5 und Art. 24 DS-GVO, aus denen sich eine Nachweis- und Rechenschaftspflicht für Unternehmen ableitet. Künftig müssen Unternehmen nämlich nicht nur sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sondern sie müssen dies auch nachweisen können.

Gleiches gilt auch im Bereich Datensicherheit – denn auch hier bedarf es eines Nachweises, dass „geeignete technische und organisatorische Maßnahmen“ eingesetzt werden, die dem Schutz der betroffenen Personen dienen. Im Klartext heißt das, dass künftig Dokumentationen etwa aus den Bereichen:

  • Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
  • Einbindung des Datenschutzbeauftragten (Fälle, in denen Mitarbeiter sich an den Datenschutzbeauftragten wenden sollten)
  • Verzeichnis von Verarbeitungstätigkeiten (an welchen Stellen liegen personenbezogenen Daten im Unternehmen vor?)
  • Datenschutz-Folgenabschätzung, Art. 35 DS-GVO (wie Vorabkontrolle nach § 4d Abs. 5 BDSG beim Umgang mit sensiblen Daten)
  • Vertragsmanagement (welche Dienstleister werden eingesetzt?)
  • Datenschutz-Schulung und Verpflichtung auf das Datengeheimnis
  • Prozess zur Wahrnehmung von Betroffenenrechten
  • Meldung von Datenschutzverstößen
  • Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen) angelegt und gepflegt werden sollten.

Ein DMS kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) DS-GVO zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

4. Zulässigkeit der Datenverarbeitung

Des Weiteren ist auch zu überprüfen, ob die Verarbeitung und Nutzung personenbezogener Daten mit der erforderlichen Erlaubnis erfolgt. Daher sollten die Rechtsgrundlagen und Einwilligungen überprüft werden. In Betracht kommen die Artikel 6 bis 11 DS-GVO. Aus Art. 7 DS-GVO ergeben sich die Bedingungen, unter denen eine Einwilligung künftig rechtskonform sein wird:

  • Freie Entscheidung des Betroffenen
  • Ausführliche, erkennbare und bestimmte Information des Betroffenen
  • Schriftform der Einwilligungserklärung
  • Widerruflichkeit der Einwilligungserklärung

Eine Neuerung ergibt sich im Bereich der Einwilligung von Minderjährigen unter 16 Jahren (bzw. unter 13 Jahren wenn das nationale Recht dies vorsieht). Diese sollen generell nur wirksam sein, wenn und insoweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DS-GVO).

5. Informationspflichten

Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Unter der DS-GVO vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Maßgebliche Normen sind hier Art. 13 und 14 DS-GVO. Nach Art. 13 DS-GVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlagen
  • Berechtigtes Interesse
  • Empfänger der Daten
  • Übermittlung der Daten in Drittstaaten
  • Dauer der Speicherung
  • Betroffenenrechte
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Verpflichtung zur Bereitstellung personenbezogener Daten
  • Automatisierte Entscheidungsfindung und Profiling

Aus Art. 14 DS-GVO ergibt sich, dass nahezu dieselben Informationspflichten bestehen, wenn die Daten nicht beim Betroffenen selbst erhoben werden.

Rechtzeitiges Handeln zahlt sich aus

Das eher stiefmütterlich behandelte Thema Datenschutz darf künftig nicht auf die leichte Schulter genommen werden. Denn der europäische Gesetzgeber hat sich entschieden, die Bußgelder für Datenschutzverstöße drastisch zu erhöhen, auch um dadurch eine abschreckende Wirkung zu erzielen. Während aktuell nach dem BDSG gerade mal Geldbußen von bis zu 300.000 Euro je Verstoß verhängt werden können, sieht die DS-GVO als Obergrenze 4 % des globalen Konzernumsatzes des Vorjahres vor. Wenn sich Unternehmen jetzt bereits mit den kommenden Änderungen vertraut machen, kann vieles in die richtige Richtung gelenkt werden und so späteres Nacharbeiten oder sogar wirtschaftliche Einbußen vermieden werden.