In 5 Schrit­ten zur DS-GVO

Seit Mai 2016 ist die end­gül­ti­ge Fas­sung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ver­ab­schie­det und ver­öf­fent­licht. Unter­neh­men haben nun bis zum 25. Mai 2018 Zeit, die neu­en daten­schutz­recht­li­chen Anfor­de­run­gen umzu­set­zen. Denn dann gilt die Ver­ord­nung unmit­tel­bar in allen EU-Mit­glieds­staa­ten und löst die bis­he­ri­gen natio­na­len Rege­lun­gen und EU-wei­ten Richt­li­ni­en ab. Wel­che Maß­nah­men Unter­neh­men bis dahin ergrei­fen soll­ten, zeigt der fol­gen­de Bei­trag.

1. Der Sta­tus quo

In einem ersten Schritt soll­te eine Bestands­auf­nah­me der vor­han­de­nen daten­schutz­recht­lich rele­van­ten Pro­zes­se durch­ge­führt wer­den, um zu sehen an wel­chen Stel­len das Unter­neh­men über­haupt Ände­rungs­be­darf hat. Dann kann im Rah­men die­ser soge­nann­ten GAP-Ana­ly­se geklärt wer­den, auf wel­chem Stand sich der Daten­schutz im Unter­neh­men befin­det.

Auf Grund der dar­aus resul­tie­ren­den Fest­stel­lun­gen kann dann geprüft wer­den, inwie­weit der Ist-Zustand von den Anfor­de­run­gen der DS-GVO abweicht. Anschlie­ßend soll­te ein geeig­ne­ter Fahr­plan für die ver­blei­ben­de Umset­zungs­zeit fest­ge­legt wer­den. So lässt sich syste­ma­tisch mit ent­spre­chen­den Maß­nah­men nach und nach der gewünsch­te Soll-Zustand errei­chen.

2. Ver­fah­rens­ver­zeich­nis­se auf­bau­en

Das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten nach der DS-GVO ist im Grund­satz nichts ande­res, als das alt­be­kann­te Ver­fah­rens­ver­zeich­nis nach §§ 4g Abs. 2, 4e BDSG. Es han­delt sich also um eine Doku­men­ta­ti­on und Über­sicht über Ver­fah­ren, bei denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den.

Die Pflicht ein sol­ches Ver­fah­rens­ver­zeich­nis zu füh­ren trifft sowohl den Ver­ant­wort­li­chen als auch den Auf­trags­ver­ar­bei­ter. Inhalt­lich wer­den aber gerin­ge­re Anfor­de­run­gen an das Ver­fah­rens­ver­zeich­nis eines Auf­trags­ver­ar­bei­ters gestellt. Aus Art. 30 Abs. 5 DSGVO erge­ben sich auch Aus­nah­men für die Erstel­lung eines Ver­fah­rens­ver­zeich­nis­ses: Die Pflicht zur Füh­rung gilt zum Bei­spiel dann nicht, wenn der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter weni­ger als 250 Beschäf­tig­te hat und „die von ihnen vor­ge­nom­me­ne Ver­ar­bei­tung nicht ein Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen birgt, die Ver­ar­bei­tung nicht nur gele­gent­lich erfolgt“ oder die Ver­ar­bei­tung kei­ne beson­ders sen­si­blen Daten­ka­te­go­ri­en oder straf­recht­lich rele­van­ten Daten betrifft.

3. Pflicht statt Kür – das Daten­schutz-Manage­ment-System

Die DS-GVO ver­pflich­tet Unter­neh­men zudem ein Daten­schutz-Manage­ment-System ein­zu­füh­ren. Zen­tra­le Nor­men sind hier Art. 5 und Art. 24 DS-GVO, aus denen sich eine Nach­weis- und Rechen­schafts­pflicht für Unter­neh­men ablei­tet. Künf­tig müs­sen Unter­neh­men näm­lich nicht nur sicher­stel­len, dass daten­schutz­recht­li­che Vor­ga­ben ein­ge­hal­ten wer­den, son­dern sie müs­sen dies auch nach­wei­sen kön­nen.

Glei­ches gilt auch im Bereich Daten­si­cher­heit – denn auch hier bedarf es eines Nach­wei­ses, dass „geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men“ ein­ge­setzt wer­den, die dem Schutz der betrof­fe­nen Per­so­nen die­nen. Im Klar­text heißt das, dass künf­tig Doku­men­ta­tio­nen etwa aus den Berei­chen:

  • Daten­schutz­or­ga­ni­sa­ti­on und Ver­ant­wort­lich­keit für Daten­ver­ar­bei­tun­gen
  • Ein­bin­dung des Daten­schutz­be­auf­trag­ten (Fäl­le, in denen Mit­ar­bei­ter sich an den Daten­schutz­be­auf­trag­ten wen­den soll­ten)
  • Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (an wel­chen Stel­len lie­gen per­so­nen­be­zo­ge­nen Daten im Unter­neh­men vor?)
  • Daten­schutz-Fol­gen­ab­schät­zung, Art. 35 DS-GVO (wie Vor­ab­kon­trol­le nach § 4d Abs. 5 BDSG beim Umgang mit sen­si­blen Daten)
  • Ver­trags­ma­nage­ment (wel­che Dienst­lei­ster wer­den ein­ge­setzt?)
  • Daten­schutz-Schu­lung und Ver­pflich­tung auf das Daten­ge­heim­nis
  • Pro­zess zur Wahr­neh­mung von Betrof­fe­nen­rech­ten
  • Mel­dung von Daten­schutz­ver­stö­ßen
  • Nach­weis der Daten­si­cher­heit (Umset­zung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men) ange­legt und gepflegt wer­den soll­ten.

Ein DMS kann zwar bei unbe­ab­sich­tig­ten Daten­schutz­ver­stö­ßen nicht mit Sicher­heit den Vor­wurf der Fahr­läs­sig­keit ent­fal­len las­sen, ist jedoch nach Art. 83 Abs. 2 d) DS-GVO zumin­dest buß­geld­min­dernd zu berück­sich­ti­gen. Zudem ermög­licht ein effi­zi­en­tes System eine schnel­le Reak­ti­on des Unter­neh­mens, falls es tat­säch­lich zu Daten­schutz­ver­stö­ßen kommt.

4. Zuläs­sig­keit der Daten­ver­ar­bei­tung

Des Wei­te­ren ist auch zu über­prü­fen, ob die Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten mit der erfor­der­li­chen Erlaub­nis erfolgt. Daher soll­ten die Rechts­grund­la­gen und Ein­wil­li­gun­gen über­prüft wer­den. In Betracht kom­men die Arti­kel 6 bis 11 DS-GVO. Aus Art. 7 DS-GVO erge­ben sich die Bedin­gun­gen, unter denen eine Ein­wil­li­gung künf­tig rechts­kon­form sein wird:

  • Freie Ent­schei­dung des Betrof­fe­nen
  • Aus­führ­li­che, erkenn­ba­re und bestimm­te Infor­ma­ti­on des Betrof­fe­nen
  • Schrift­form der Ein­wil­li­gungs­er­klä­rung
  • Wider­ruf­lich­keit der Ein­wil­li­gungs­er­klä­rung

Eine Neue­rung ergibt sich im Bereich der Ein­wil­li­gung von Min­der­jäh­ri­gen unter 16 Jah­ren (bzw. unter 13 Jah­ren wenn das natio­na­le Recht dies vor­sieht). Die­se sol­len gene­rell nur wirk­sam sein, wenn und inso­weit die­se Ein­wil­li­gung durch den Trä­ger der elter­li­chen Ver­ant­wor­tung für das Kind oder mit des­sen Zustim­mung erteilt wird (Art. 8 Abs. 1 DS-GVO).

5. Infor­ma­ti­ons­pflich­ten

Infor­ma­ti­ons­pflich­ten bei Daten­er­he­bung und -ver­ar­bei­tung sind fester Bestand­teil des Daten­schutz­rechts. Unter der DS-GVO ver­viel­fa­chen sich jedoch die von Unter­neh­men und Ver­ant­wort­li­chen zu berück­sich­ti­gen­den Pflich­ten in Bezug auf die Infor­ma­ti­on von Betrof­fe­nen. Maß­geb­li­che Nor­men sind hier Art. 13 und 14 DS-GVO. Nach Art. 13 DS-GVO sind ins­be­son­de­re die fol­gen­den Infor­ma­tio­nen dem Betrof­fe­nen in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form zu ertei­len:

  • Iden­ti­tät des Ver­ant­wort­li­chen
  • Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten
  • Ver­ar­bei­tungs­zwecke und Rechts­grund­la­gen
  • Berech­tig­tes Inter­es­se
  • Emp­fän­ger der Daten
  • Über­mitt­lung der Daten in Dritt­staa­ten
  • Dau­er der Spei­che­rung
  • Betrof­fe­nen­rech­te
  • Wider­ruf­bar­keit von Ein­wil­li­gun­gen
  • Beschwer­de­recht bei der Auf­sichts­be­hör­de
  • Ver­pflich­tung zur Bereit­stel­lung per­so­nen­be­zo­ge­ner Daten
  • Auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und Pro­filing

Aus Art. 14 DS-GVO ergibt sich, dass nahe­zu die­sel­ben Infor­ma­ti­ons­pflich­ten bestehen, wenn die Daten nicht beim Betrof­fe­nen selbst erho­ben wer­den.

Recht­zei­ti­ges Han­deln zahlt sich aus

Das eher stief­müt­ter­lich behan­del­te The­ma Daten­schutz darf künf­tig nicht auf die leich­te Schul­ter genom­men wer­den. Denn der euro­päi­sche Gesetz­ge­ber hat sich ent­schie­den, die Buß­gel­der für Daten­schutz­ver­stö­ße dra­stisch zu erhö­hen, auch um dadurch eine abschrecken­de Wir­kung zu erzie­len. Wäh­rend aktu­ell nach dem BDSG gera­de mal Geld­bu­ßen von bis zu 300.000 Euro je Ver­stoß ver­hängt wer­den kön­nen, sieht die DS-GVO als Ober­gren­ze 4 % des glo­ba­len Kon­zern­um­sat­zes des Vor­jah­res vor. Wenn sich Unter­neh­men jetzt bereits mit den kom­men­den Ände­run­gen ver­traut machen, kann vie­les in die rich­ti­ge Rich­tung gelenkt wer­den und so spä­te­res Nach­ar­bei­ten oder sogar wirt­schaft­li­che Ein­bu­ßen ver­mie­den wer­den.