DS-GVO (2): Zeit zu handeln

Bis 25. Mai 2018 ist es nicht mehr weit. Wie Umfragen ergeben haben, sind viele Unternehmen noch immer nicht auf die neuen Vorgaben und Vorschriften vorbereitet. Seit kurzem ist auch das Datenschutz-Anpassungs- und -Umsetzungsgesetz  (DSAnpUG-EU) also das neue Bundesdatenschutzgesetz (BDSG) verabschiedet. Es ergänzt und konkretisiert, in nationalen Öffnungsklauseln, die DS-GVO. Dort sind u.a. der Beschäftigtendatenschutz und die Bestellpflicht des Datenschutzbeauftragten (DSB) geregelt.

Datenschutz-Folgenabschätzung

Die DSFA ist der Ersatz der Vorabkontrolle aus dem BDSG. Unternehmen sind in bestimmten Fällen verpflichtet, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Dies gilt immer dann, wenn eine Form der Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Insbesondere findet sie Anwendung bei neuen Technologien oder aufgrund des Wesens, des Umfangs, des Kontexts oder der Zwecke der geplanten Verarbeitung. Die Aufsichtsbehörden sind aufgefordert, Listen von den Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen erforderlich sind. Dies kann durch Positiv- oder Negativlisten erfolgen, welche die Verfahren enthalten, für die eine DSFA zwingend erforderlich oder eben nicht erforderlich ist.

Vertragsmanagement

Im Rahmen des Vertragsmanagements sollten alle von einem Unternehmen eingesetzten Dienstleister in einer Liste zusammengefasst werden. Sinnvollerweise zunächst unabhängig davon, ob sie personenbezogenen Daten verarbeiten oder nicht. Im nächsten Schritt können der Datenschutzbeauftragte oder die Datenschutz-Koordinatoren prüfen, ob durch den Dienstleister personenbezogene Daten verarbeitet werden, ob eine Vereinbarung zur Auftragsverarbeitung nach § 11 BDSG erforderlich ist und ob diese bereits abgeschlossen wurde. Im Anschluss daran wird geprüft, welche Verträge nach den Vorgaben der DS-GVO abgeschlossen oder angepasst werden müssen. Was durch die umfangreicheren Vorgaben vermutlich viele Verträge betrifft. Sofern keine Verträge nach § 11 BDSG vorhanden sind, sollt die eine Ihrer wichtigsten Prioritäten sein.

Verpflichtung zur Verschwiegenheit (ehemals Datengeheimnis)

Kennen wir aus § 5 BDSG das Datengeheimnis, suchen wir in der DS-GVO vergeblich danach. Trotzdem sollten Mitarbeiter unbedingt eine Verpflichtungserklärung abgeben, welche sie zur Verschwiegenheit über personenbezogene Daten verpflichtet. Der Gesetzgeber schreibt in Art. 29 DS-GVO, dass der Verantwortliche sicherzustellen hat, dass die ihm unterstellten Personen, die Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen. Diese Verpflichtung der Mitarbeiter wird sinnvollerweise schriftlich vorgenommen, damit der Verantwortliche bei Bedarf gegenüber einer Aufsichtsbehörde für den Datenschutz nachweisen kann, dass dies auch tatsächlich geschehen ist. Zusätzlich dient dies als erste Sensibilisierungsmaßnahme für die Mitarbeiter. Idealerweise erfolgen die Verpflichtungen im Rahmen einer Unterweisung zu Datenschutz.

Datenschutz-Schulung

Im Rahmen von Datenschutzschulungen hat der Datenschutzbeauftragte die Mitarbeiter auf die konkreten datenschutzrechtlichen Regelungen und Prozesse im Unternehmen zu unterweisen. Dies gehört zu seinen Tätigkeiten gem. Art. 39 Abs. 1 DS-GVO. Die Datenschutz- Schulung und die Verpflichtung auf Verschwiegenheit sind beide als Teil der organisatorischen Maßnahmen anzusehen, die dem Schutz der personenbezogenen Daten dienen.

Prozess zur Wahrnehmung der Rechte von betroffen Personen

Es muss zwingend ein Prozess installiert werden, über den sichergestellt wird, dass betroffene Personen ihre Rechte gem. DS-GVO (Art. 12 - 22 + 38 + 77) wahrnehmen können. Derartige Anfragen zur "Datenauskunft" von Betroffenen dürfen keinesfalls im Unternehmen nachlässig behandelt werden und im Tagesgeschäft untergehen (Ablage P-rund ist eine der schlechtesten Lösungen).

Bedingt durch die vielfältigen Rechte der betroffenen Person, vervielfachen sich die vom Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von betroffenen Personen. Die betroffene Person soll wissen, wer welche Daten zu welchem Zweck über sie verarbeitet und in die Lage versetzt werden, aufgrund er Informationen die Datenverarbeitung zu prüfen.

Diese Anforderung kann nur erfüllt werden, wenn das verantwortliche Unternehmen die betroffene Person ausreichend, umfassend und verständlich über die Datenverarbeitungsvorgänge informiert.
Um dies bewerkstelligen zu können, müssen im Unternehmen die Sachverhalte ermittelt werden, in welchen Informationspflichten bestehen. Beispiele hierfür sind: die Anmeldung zu Newsletter, CRM-Systeme, Aufzeichnungen im Callcenter, Bewerbungsverfahren,  Abschluss eines Kaufvertrages im Onlineshop, etc.

In einem Prozess ist zu definieren, wie zu reagieren ist, falls eine betroffene Person (intern oder extern) von ihren Rechten Gebrauch macht. An wen und in welcher Frist sollen Anfrage von Betroffenen weitergeleitet werden? Wer ist für die Bearbeitung der Anliegens zuständig? Was ist bezüglich der Vertraulichkeit zu beachten? Wer sind die Ansprechpartner für verschiedene Systeme, um beispielsweise die Löschung von personenbezogenen Daten überall im Unternehmen und bei den Datenempfängern gewährleisten zu können? Dies gilt natürlich nur, sofern der Löschanspruch der betroffenen Person begründet bzw. gesetzlich zulässig ist.

Meldung von Datenschutzverstößen

Unternehmen müssen im Falle einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DS-GVO unverzüglich handeln. Binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, soll die Meldung bei der zuständigen Aufsichtsbehörde erfolgen. Von einer Meldung kann nur abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.

Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, ist nach Art. 34 DSGVO zusätzlich zur Aufsichtsbehörde die betroffene Person zu informieren.

Um sicherstellen zu können, dass diesen umfangreichen Melde- bzw. Informationspflichten nachgekommen werden kann, muss im Unternehmen ein Prozess implementiert sein, in welchem die Verletzung des Schutzes personenbezogener Daten erkannt, der Sachverhalt an den Datenschutzbeauftragten weitergeleitet und anschließend von diesem bewertet wird. Der Datenschutzbeauftragte prüft dabei, ob ein normales oder ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen vorliegt oder ob ggf. kein Risiko vorliegt. Bei dem Prozess müsse auch die eigenen  Auftragsverarbeiter eingebunden werden. Idealerweise wird zur Bearbeitung solcher Vorfälle ein Kompetenzteam z. B. aus Datenschutzbeauftragtem, der IT-Sicherheit und der Rechtsabteilung versuchen, den Sachverhalt aufzuklären. um der Geschäftsleitung die Grundlage für die letztendliche Entscheidung zur Meldung vorzubereiten.

Zeit zu Handeln: Datensicherheit nachweisen können

Die neuen Vorgaben für die Sicherheit der Verarbeitung finden sich hauptsächlich in Art. 5 Abs. 1 lit. f DS-GVO sowie in Art. 32 DS-GVO. Zudem gelten weitere Bestimmungen wie Art. 24, 25, 36 DS-GVO die Datensicherheit. Der § 9 BDSG inklusive Anlage wird dabei durch Art. 32 DS-GVO ersetzt. Hier findensich allerdings lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen.

Die konkreten Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DS-GVO - abgesehen von Pseudonymisierung und Verschlüsselung - nicht genannt. Die Gebote aus der Anlage zu § 9 BDSG (von der Zutritts- bis zur Trennungskontrolle) werden durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick reichlich interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. der Praxis konkretisiert werden. Es empfiehlt sich unbedingt, an die Dokumentation der technisch-organisatorischen Maßnahmen nach § 9 BDSG angelehnt, die ergriffenen Maßnahmen zu dokumentieren und sodann kontinuierlich zu aktualisieren.

Was ist mit den Bußgeldern?

Auch wenn ein Datenschutzmanagementsystem bei unbeabsichtigten Datenschutzverstößen
nicht mit Sicherheit den Vorwurf der Fahrlässigkeit abwehren und es Fehler nicht völlig unterbinden kann, ist dessen Betrieb jedoch nach Art. 83 Abs. 2 lit. d zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

Grundsätzlich ist davon auszugehen, dass auch die deutschen Aufsichtsbehörden in absehbarer Zeit den neuen Bußgeldrahmen der DS-GVO (bis zu 20 Mio. oder 4% des weltweiten Jahresumsatzes) zumindest ansatzweise ausschöpfen werden. Die doch relativ geringen Bußgelder des BDSG gehören damit der Vergangenheit an.