Anforderungen durch die Datenschutz-Grundverordnung
Einleitung
Die sog. Datenschutz-Grundverordnung (DS-GVO) trat am 25. Mai 2018 in Kraft. Sie war buchstäblich „über Nacht“ in allen Mitgliedstaaten der Europäischen Union zu beachten.
Die DS-GVO hat praktische Bedeutung wohl für alle Unternehmen. Datenschutz-Aufsichtsbehörden werden ermächtigt, erhebliche Geldbußen festzusetzen, welche für Unternehmen bis zu 4 % des Weltjahresumsatzes betragen können.
Eine Auseinandersetzung mit den jetzt auf denUnternehmen lastenden Anforderungen im Detail ist nötig. Denn es ist gibt schon diverse Verfahren, in denen bei Verstößen nicht nur aufsichtsbehördliche Maßnahmen und Bußgelder drohen, sondern insb. auch Abmahnungen von Wettbewerbern oder Abmahnverbänden.
Der vorliegende Beitrag soll eine erste Orientierung liefern, welche Fragen besonders kritisch sein können und dringend zu bearbeiten sind.
Die Regelungen im Überblick
Anknüpfungspunkt für die Reglementierung sind personenbezogene Daten. Darunter sind alle Informationen zu verstehen, die sich entweder auf identifizierte natürliche Person beziehen oder auf identifizierbare natürliche Person beziehen, wobei Identifizierung durch eine Zusammenführung von Informationen erfolgt. Beide Personengruppen werden als sogenannte betroffene Personen bezeichnet. Es geht also immer um den Schutz von sog. „natürlichen“ Personen, also den Menschen, nicht dagegen den Schutz von sog. juristischen Personen, also z.B. Kapitalgesellschaften wie GmbH oder AG.
Referenzbegriff ist die „Verarbeitung personenbezogener Daten“, gleichviel, ob in vollständig bzw. teilweise automatisierter oder nicht automatisierter Weise. Der Verarbeiter wird als sogenannter Verantwortlicher bezeichnet. Der Begriff der Verarbeitung umfasst dabei die Erhebung, Speicherung, Änderung, Übermittlung, Verknüpfung und Löschung von personenbezogenen Daten.
Die Datenverarbeitung unterliegt einem Verbot mit Erlaubnisvorbehalt. Eine Erlaubnis liegt vor, wenn eine in der Verordnung genannte Grundlage für die Rechtmäßigkeit vorliegt (alternativ):
• die Einwilligung der informierten betroffenen Person für einen bestimmten Fall;
• die Verarbeitung zur Vertragserfüllung;
• die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, während die Interessen der betroffenen Person nicht überwiegen.
Die Einwilligung muss für einen bestimmten Fall abgegeben werden und ist erst wirksam, nachdem der Verantwortliche über den konkreten Zweck der Verarbeitung klar und verständlich informiert hat. Auf die Widerrufsmöglichkeit der Einwilligung muss ebenfalls hingewiesen werden. Schließlich hat die Einwilligung durch die betroffene Person mindestens mit einer eindeutig bestätigenden Handlung zu erfolgen.
Die Abgabe von persönlichen Daten für Zwecke der Vertragserfüllung unterliegt ebenfalls keiner der im Rechtsverkehr allgemein anerkannten Formvorschriften. Die Verwertung von personenbezogenen Daten bzw. das Verlangen dieser Daten ist rechtmäßig, wenn diese zur Erfüllung eines Vertrages notwendig sind.
Erhebliche Bedeutung wird der Begriff der „Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen“ erhalten. Die wohl meisten Datenverarbeitungen werden auf diesen ziemlich unbestimmten Begriff gestützt werden müssen. Es handelt sich hierbei um ein Verarbeiten von Daten für die Direktwerbung, Marktforschung oder Auswertung der Kundendaten. Auf die „vernünftigen Erwartungen einer betroffenen Person“ ist abzustellen.
Neben den vorgenannten drei Voraussetzungen für die Rechtmäßigkeit der Verarbeitung sind weitere Grundsätze zu beachten, die nicht alle durch die DS-GVO neu eingeführt worden sind. Zu nennen sind:
• die Zweckbindung;
• die Richtigkeit der Daten;
• die Erforderlichkeit der Speicherung.
Die Zwecke für die Verarbeitung personenbezogener Daten müssen vorab feststehen, gleichviel, ob die Verarbeitung aufgrund Einwilligung erfolgt, zur Vertragserfüllung oder aufgrund berechtigter Interessen. Die Definition des Grundes hat vom Verantwortlichen zu erfolgen. Die Sicherstellung der Richtigkeit der Daten hat mit angemessenem Aufwand zu erfolgen. Dies betrifft auch die Bereitschaft, Daten innerhalb angemessener Zeit auf Anfrage der betroffenen Person zu ändern.
Die Erforderlichkeit der Speicherung von Daten fällt weg, wenn Daten für die Zweckerreichung nicht mehr benötigt werden und es keine sonstigen Aufbewahrungsvorschriften gibt. Dann ist entweder zu löschen oder mindestens eine Änderung vorzunehmen, so dass jeglicher Personenbezug wegfällt.
Die Einhaltung dieser vorgenannten Grundsätze genügt aber noch nicht, um den neuen Anforderungen der DS-GVO nachzukommen. Es wird die Pflicht zur Führung eines Verzeichnisses eingeführt, in der wesentliche Verarbeitungsschritte aufzuführen sind. Für dieses Verzeichnis gibt es einen vorgeschriebenen Mindestinhalt. Dieser Mindestinhalt deckt aber noch nicht die Informationen ab, über welche die Unternehmen den Aufsichtsbehörden gegenüber rechenschaftspflichtig sind.
Die Verantwortlichen müssen in Zukunft über den Mindestinhalt der zu führenden Verzeichnisse hinaus jederzeit zur Rechenschaft in der Lage sein. Im Zweifel muss durch Vorlage einer schriftlichen Dokumentation nachgewiesen werden, welche personenbezogenen Daten auf welcher Rechtsgrundlage, für welchen Zweck verarbeitet werden und wie lange sie noch zu speichern sind. Insbesondere die jeweilige Rechtsgrundlage ist nicht im Mindestinhalt umfasst.
Kaum Freistellungen von der Verzeichnispflicht:
Das Verzeichnis der Verarbeitungstätigkeiten ist von den Verantwortlichen fast aller Unternehmen und Einrichtungen zu führen. Eine Freistellung gilt nämlich nur dann, wenn die Verarbeitung nur gelegentlich erfolgt und auch keine besonderen Datenkategorien wie Gesundheit- oder Religionsdaten verarbeitet werden. Sobald eine Person, Unternehmen, Einrichtung etc. aber Mitarbeiter beschäftigt, werden Daten in den genannten Kategorien verarbeitet, zum Beispiel zur Feststellung von Krankheitstagen.
Das Verzeichnis bleibt intern und ist nicht öffentlich zu führen. Die Verzeichnisse sind regelmäßig in deutscher Sprache zu führen, wobei es freisteht, ob dies schriftlich oder elektronisch geschieht. Die Verzeichnisse müssen immer aktuell sein. Aktualisierungen sollten unter Beibehaltung der Vorversion durchgeführt werden.
Mindestinhalt:
Im verpflichtenden Teil des Verzeichnisses sind in beschreibender Weise die einzelnen Verarbeitungstätigkeiten, die jeweiligen Zwecke und weiterer Inhalt niederzulegen, welcher sich aus Art. 30 Abs.1 DS-GVO ergibt.
Erweitertes Verzeichnis:
Es ist dringend zu empfehlen, den Mindestinhalt zu erweitern und zusätzlich für jeden Verarbeitungsschritt die in der DS-GVO enthaltenen Rechtsgrundlagen zu benennen, die Löschungsfristen zu notieren und weiteren rechenschaftsrelevanten Inhalt aufzunehmen, um etwaige Anfragen der Aufsichtsbehörden problemlos beantworten zu können.
Auftragsdatenverarbeitung:
Im Bereich der Auftragsdatenverarbeitung bleibt es auch unter der Geltung der DS-GVO dabei, dass schriftliche Verträge mit dem Auftragsdatenverarbeiter vorliegen müssen. Allerdings sind diese nun an mögliche Änderungen durch die neue Rechtslage anzupassen.
Verpflichtung der Mitarbeiter:
Da die Verarbeitung häufig durch Mitarbeiter geschieht, ist es geboten, die Mitarbeiter auf eine gesetzeskonforme und weisungsgemäße Verarbeitung der ihnen anvertrauten und zugänglichen personenbezogene Daten schriftlich (Nachweisbarkeit) zu verpflichten. Zu beachten ist, dass die Mitarbeiter Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen. Dies ist entsprechend in die Verpflichtung aufzunehmen.
Datenschutzbeauftragter:
Unternehmen, in denen mindestens zehn Personen damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten (also Rechner-/Netzwerk-/EDV-Zugang haben), müssen für ihr Unternehmen einen Datenschutzbeauftragten (intern oder extern) benennen. Zu beachten ist, dass hier nicht nur die Personalbuchhaltung infrage kommt, sondern jeder Mitarbeiter, der zum Beispiel im E-Mail-Kontakt mit Kunden steht. Darüber hinaus müssen auch Unternehmer bzw. Unternehmen unterhalb dieses Schwellenwertes einen Datenschutzbeauftragten benennen, wenn Daten und deren Verarbeitung den Kern der Unternehmenstätigkeit darstellen.
Betroffenenrechte:
Rechte der Betroffenen gab es schon zuvor. Das einzig wirklich neue Betroffenenrecht ist das Recht auf Datenübertragbarkeit. Es regelt den Anspruch, dass die betroffene Person die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen mitgeteilt hat, in einem gängigen Format zur Verfügung gestellt bekommt oder auch an einen anderen Verantwortlichen weitergeben lassen kann. Ein Kunde kann verlangen, dass die von ihm zum Beispiel an einen Onlineshop abgegebenen Daten an einen weiteren Onlineshop weitergegeben werden.
Hingewiesen werden muss der jeweils Betroffene darauf, dass eine „betroffene Person“ einer Datenverarbeitung jederzeit widersprechen kann. Dies kommt insbesondere in Betracht, insofern der Verantwortliche das Recht zur Datenverarbeitung auf eine Interessenabwägung stützt. Grundsätzlich muss die betroffene Person ihren Widerspruch begründen. Bei Werbemaßnahmen gilt dies, und darauf ist auch hinzuweisen, allerdings nicht.
IT-Sicherheit:
Auch die IT Sicherheit ist ein Stichwort, welches bereits vor der DS-GVO bekannt war. Die Themenstellung rund um Absicherung vor Hackerangriffen, Verschlüsselung von elektronischer Kommunikation, Stabilität und Wiederherstellung von Daten bleibt weiterhin aktuell.
Das Thema verlangt nun von allen Unternehmen eine vertiefte Aufmerksamkeit und rechtzeitiges Handeln. Eine Übergangsfrist ist nicht vorgesehen. Die Überprüfungen durch die Aufsichtsbehörden sind erleichtert insbesondere wegen der zwingend mit einem Mindestinhalt zu führenden Verzeichnisse.
Auf Webseiten muss intensiv belehrt werden über alle Datenerfassungen beim Besuch der Webseite. Dies erfordert gegenüber der Vergangenheit weit umfassendere Belehrungen bevorzugt unter einem gesonderten Button „Datenschutz“.
Zusammenfassung der To-Dos:
Zusammenfassend ist festzustellen, dass drei Themenfelder von jedem Unternehmen dringend zu bearbeiten sind:
1. Aufsetzen des oder der Verzeichnisse der Verarbeitungstätigkeiten
2. Prüfung der Notwendigkeit eines Datenschutzbeauftragten
3. Anpassung der Belehrungen auf den Webseiten.
4. Überlegungen zu den Betroffenen-Rechten
Die Bearbeitung im Einzelnen kann Fragen aufwerfen. Als kompetenter Partner stehen wir Ihnen mit Beratung und Unterstützung zur Seite.