Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 4

Mitautor: Christian Frerix*

Huch! Da bin ich ja schon wieder, obwohl wir noch gar nicht September haben. Doch wohl an. Diesmal geht es wieder um die EU-Datenschutzgrundverordnung, kurz DSGVO. In Teil 4 geht es um:

Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten 

[Bonustrack: Der Datenschutzbeauftragte unter der DSGVO]

Wir wir schon in Teil 1 „Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung“ sagten, bringt die im Mai 2018 Geltung erlangende und ab dann auch den Datenschutz in Deutschland regelnde europäische Datenschutzgrundverordnung (DSGVO)  jede Menge Änderungen mit sich, auf die sich Unternehmen künftig einstellen müssen. Es ändern sich sowohl die Begrifflichkeiten (siehe dazu Teil 2 „Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt“) als auch etliche Voraussetzungen zur Datenverarbeitung (Teil 3 – „Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen“).

Doch damit nicht genug. Die DSGVO verschärft die Dokumentationspflichten, die Datensicherungspflichten und die Meldepflichten. (Auch die Informations- und Auskunftspflichten, aber dazu wird es einen weiteren Artikel geben…). Das bedeutet, dass alle Unternehmen Ihre datenschutzrechtlichen Strukturen bis 2018 unbedingt auf den Prüfstand stellen sollten.

And again: Warum sollte man sich schon jetzt mit dem Thema befassen, wenn die Regelungen doch erst ab 2018 gelten?

Wenn Sie unsere kleine Serie verfolgen, dann kennen Sie die Gründe schon und Sie dürfen gleich zum nächsten Absatz springen. Sollten Ihnen die Gründe jedoch unbekannt sein, dann sollten Sie hier besser nicht die Augen verschließen. Letztendlich geht es – wie so oft – ums Geld. Je nach Art des Verstoßes gegen die Regelungen der DSGVO können Unternehmen künftig nämlich mit Bußgeldern in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres  oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden (je nach dem welcher Verstoß Ihnen zur Last gelegt werden kann, variieren die Höhen der möglichen Geldbußen). Der zweite Grund geht mit dem anderen einher. Denn diese Geldbußen können mit dem Geltungsbeginn der DSGVO können diese Geldbußen verhängt werden. Also in weniger als zwei Jahren. Das klingt zunächst nach noch sehr viel Zeit.  Doch wenn man bedenkt, dass die internen Abläufe auf ihre künftige Vereinbarkeit mit der DSGVO hin überprüft und ggf. erforderliche Änderungen realisiert werden müssen, dann können gute 21 Monate sehr knapp sein. Und deshalb lohnt sich – ganz ohne Hektik – also schon jetzt eine Auseinandersetzung mit den praktischen Änderungen, die die DSGVO für datenverarbeitende Unternehmen bereithält

1.  Der Datenschutzbeauftragte

Bevor wir uns den ganzen verschiedenen Pflichten zuwenden, gucken wir einmal, was nach derzeitigem Stand mit dem Datenschutzbeauftragten passiert.

Laut § 4f BDSG braucht unter dem BDSG schließlich (fast) jedes Unternehmen einen Datenschutzbeauftragten. Laut Art. 37 DSGVO soll eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch nicht-öffentliche Stellen jedoch grundsätzlich nur bestehen, wenn Kerntätigkeit des Unternehmens die Verarbeitung besonders sensitiver Daten oder die systematische Überwachung von betroffenen Personen ist.

Oh wie schön ist… Nein, nein. Zu früh gefreut. Den Mitgliedstaaten wird nämlich die die Möglichkeit eröffnet, diesbezüglich eigene Regelungen zu treffen. Und hiervon wird Deutschland, so scheint es derzeit, natürlich Gebrauch machen. Das Bundesministerium des Inneren arbeitet nämlich an einem Gesetzesentwurf, einer Art „neuem Bundesdatenschutzgesetz“ unter bzw. neben der DSGVO, mit dem eben die kollidierenden Gesetze aufgehoben und flankierende Regelungen (über die Öffnungsmöglichkeiten der DSGVO) aufgenommen, bzw. weiter fortgeführt werden sollen.  (jahaaa, das ist jetzt juristisch unsauber, aber die meisten der Leser hier möchten es halt gerne einfach verstehen, ok?). Lange Rede, kurzer Sinn: Es sieht derzeit alles danach aus, als wenn insbesondere die Regelung der Bestellpflicht eines Datenschutzbeauftragten hier in Deutschland bestehen bleibt.   (Vgl. BMI zur Neuregelung des Datenschutzes – Umsetzung der DSGVO (Update 21.06.2016).

[Ebenso gilt übrigens als sehr wahrscheinlich, dass die Regelungen zum Arbeitnehmerdatenschutz und Scoring (§§ 28a, 28b und § 32 BDSG) erhalten bleiben. So ein Mist. Da hätte man wirklich mal lieber vernünftig neu drüber nachdenken können … aber das ist wohl ein anderes Thema…]

2.  Dokumentationspflichten

Im Folgenden gucken wir uns zunächst einmal an, was mit den bisherigen Verfahrensverzeichnissen, den Verpflichtungen auf das Datengeheimnis und der bisherigen Vorabkontrolle passiert.

a.   Verfahrensverzeichnisse ./. Verzeichnis von Verarbeitungstätigkeiten

Bereits nach geltender Rechtslage müssen die Datenverarbeitungsprozesse dokumentiert werden. Aus § 4g iVm § 4e BDSG ergibt sich nämlich nicht nur die Pflicht des Datenschutzbeauftragten (oder der Leitung des Unternehmens) zur Überwachung und Einhaltung einer datenschutzkonformen Datenverarbeitung, sondern auch die Verpflichtung hierzu sogenannte Verarbeitungsübersichten zur Verfügung zu stellen. Diese Verarbeitungsübersichten sind nicht öffentlich. Auf Antrag ist jedoch diese Verarbeitungsübersicht in „geeigneter Weise“ verfügbar zu machen. Eine solche öffentliche Verarbeitungsübersicht wird in der Regel Verfahrensverzeichnis genannt.

———————————————————————————————————————

Sollten Sie sich jetzt fragen, wer denn so einen Antrag bitteschön wann mal stellen sollte: Theoretisch könnte das jedermann tun. Aber stellen Sie sich ganz einfach den folgenden praktischen Fall vor -> Wenn Sie als Agentur zum Beispiel für ein Unternehmen eine digitale Kampagne erstellen und abwickeln sollen, mit der personenbezogene Daten für das beauftragende Unternehmen erhoben und verarbeitet werden sollen, dann wird (äh, sollte… müsste (!!)) das Unternehmen mit Ihnen einen Auftragsdatenverarbeitungsvertrag (ADVV) nach § 11 BDSG abschließen. Im Rahmen dieses Vertrages wird es von Ihnen Ihre Verfahrensverzeichnisse anfordern und diese werden Teil des ADVV. Sollten Sie jetzt sagen „Aber das hat noch keiner gemacht!“, dann mag das zwar sein, aber sagen Sie im Fall der Fälle nicht, ich hätte es Ihnen nicht schon gesagt.

(Keine Angst, in solch einem Fall stehen Sie wahrlich nicht allein dar. Viele Unternehmen beginnen sich erst ernsthaft mit dem Thema auseinanderzusetzen, wenn ein Geschäftspartner für den der rechtskonforme Umgang mit Daten aus täglichen Compliance-Anforderungen Usus ist, den – potentiellen – Vertragspartner mit diesen Anforderungen konfrontiert.)

———————————————————————————————————————

In der DSGVO nennt sich das Ganze nun nicht mehr Verfahrensverzeichnis oder Verarbeitungsübersicht sondern „Verzeichnis von Verarbeitungstätigkeiten“  (vgl. Art 30 DSGVO).

Nun kommt jedoch eine gute Nachricht: Art 30 DSGVO entspricht letztendlich § 4e BDSG und listet in Absatz 1 alle Angaben auf, die ein „Verzeichnis von Verarbeitungstätigkeiten“ enthalten muss, also sinngemäß:

  • Name und Kontaktdaten des Verantwortlichen und eines etwaigen Datenschutzbeauftragten;
  • Zweck(e) der Verarbeitung;
  • Beschreibung der Kategorien betroffener Personenkreise und Kategorien personenbezogener Daten (z.B. Personaldaten, Kundendaten etc. pp.);
  • Kategorien von Empfängern;
  • ggf. Übermittlungen in Drittländer inkl. der Dokumentation etwaiger Garantien zum Datenschutz;
  • vorgesehene Fristen für die Löschung von bestimmten Datenkategorien (z.B. Bewerberdaten)
  • allg. Beschreibungen der technischen und organisatorischen Maßnahmen iSv. Art. 32 DSGVO.

Was daran die gute Nachricht war? Nun ja, Sie haben das doch alles bereits vorliegen. Schließlich sind Sie jetzt ja bereits dazu gesetzlich zum Führen einer Verarbeitungsübersicht  verpflichtet, nicht wahr? (*hüstel).

Ok. Im Ernst. Ganz so einfach, wie es sich vielleicht anhört, ist es nicht. Sie müssen ihr Unternehmen schon einmal datenschutztechnisch auf den Kopf stellen, um ein solches Verzeichnis erstellen zu können (das schimpft sich dann auch Datenschutz-Audit). Das ist aber gar nicht mal so schlecht. Denn das sollten Sie vor 2018 ohnehin tun und in dem Zusammenhang das Unternehmen einfach gleich auf DSGVO-konforme Füße stellen.

Davon ab, ein paar weitere Änderungen gibt es noch dazu:

Pflicht des Auftragsverarbeiters zum Führen eines Verzeichnisses 

Auch als Auftragsverarbeiter müssen Sie nun nach Art 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen, also ein gesondertes Verzeichnis für die Datenprozesse, die Sie als Auftragnehmer für den Auftraggeber durchführen.

Privilegierung für Unternehmen mit weniger als 250 Mitarbeitern?

Und sollten Sie vielleicht mit großer Freude bereits die Privilegierung in Art. 30 Abs. 5 DSGVO zur Kenntnis genommen haben, in dem es zu Beginn heißt

„Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, […]“

so muss ich Sie leider enttäuschen. Denn der Satz geht ja noch weiter. Die Ausnahme gilt nämlich nur für „gelegentliche“ Verfahren. Das heißt, wenn Sie mal eine Employer Brand Kampagne für ihr 100 Mann Unternehmen starten, bei der Sie auch personenbezogene Daten verarbeiten, müssen Sie hierfür keine Dokumentation im Sinne von Art. 30 DSGVO erstellen. Art 30 Abs. 5 DSGVO entlässt kleinere Unternehmen jedoch nicht gänzlich aus der Verpflichtung ein Verzeichnis zu erstellen. Denn in diesem müssen alle dauerhaften Verarbeitungsprozesse niedergelegt sein. Dazu zählen etwa das Kundenmanagment, die Buchhaltung, das Personalmanagement etc. pp.. Noch dazu nützt es nichts, wenn bei der gelegentlichen Datenverarbeitung sensible Daten betroffen sind oder wenn die Verarbeitung „ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt“.

Kein Jedermann-Recht mehr

Die DSGVO kennt kein Einsichtsrecht für Jedermann mehr. Sie berechtigt nur die Aufsichtsbehörden zur Einsicht in die Verzeichnisse. Einige halten deswegen das Führen von den bisherigen Verfahrensverzeichnissen für entbehrlich. Ich halte dies für falsch. Praktisch wird es doch weiter so sein, dass sich Geschäftspartner – gerade vor dem Hintergrund der DSGVO – gegenseitig weiter des datenschutzkonformen Umgangs mit Daten versichern müssen. Bislang wurden hier die Verfahrensverzeichnisse dazu gern zum Vertrag genommen. Ein praktischer Weg. Die vollständigen Verzeichnisse sind dafür oftmals nicht tauglich, da diese Verzeichnisse letztlich hochsensible sicherheitstechnische Informationen enthalten können. In Folge dessen wird es vermutlich weitern nicht-öffentliche vollständige „Verzeichnisse der Verarbeitungstätigkeiten“ sowie öfffentliche „Verfahrensverzeichnisse“ (wie auch immer man diese abgespeckten Versionen auch immer nennen wird).

Disclaimer an dieser Stelle: Das ist mein Blick in die Glaskugel. Denken Sie immer daran, noch weiß niemand nichts genaues in Bezug auf die praktischen Umsetzungen der DSGVO. Wer Ihnen erzählen will, er wisse dazu bereits jetzt alles zu 100 Prozent, der… nun ja, ich würde demjenigen jedenfalls nicht all zu viel Glauben schenken.

Was passiert, wenn wir kein Verzeichnis führen? – Oder: Die Geldbußen

Tja, nun kommen wir zu den schlechten Nachrichten. Wenn Sie ein solches Verzeichnis von Verarbeitungstätigkeiten nicht oder nicht ordnungsgemäß führen, dann können nach Art 83. Abs. 4 DSGVO eben bis zu 10 Millionen EUR oder 2% des weltweit erzielten Jahresumsatzes als Geldbuße fällig werden. Tja.

b.   Die Verpflichtung auf das Datengeheimnis

Wie Sie ebenfalls – hoffentlich – wissen, verlangt das BDSG mit § 5 von einem Arbeitgeber  die bei der Datenverarbeitung eingesetzten Mitarbeiter nicht nur darüber zu unterrichten, dass es ihnen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis, § 5), sondern die Mitarbeiter auf dieses Datengeheimnis auch zu verpflichten.

In der DSGVO gibt es eine derartige explizite Verpflichtung nicht mehr. Das heißt aber nicht, dass Sie als Arbeitgeber damit auch auf eine solche Verpflichtung verzichten könnten. Denn natürlich ist das das verantwortliche Unternehmen ganz grundsätzlich verpflichtet, sicherzustellen, dass die Datenverarbeitung mit den Vorschriften der DSGVO übereinstimmt (vgl. Art. 24 DSGVO). Das umfasst auch, dafür zu sorgen, dass eine rechtswidrige Datenverarbeitung durch Mitarbeiter unterbleibt. Aus diesem Grund sollten sowohl die Unterrichtung der Mitarbeiter über das Datengeheimnis als auch die Einholung eines Nachweises darüber zu Dokumentationszwecken beibehalten werden

c.  Vorabkontrolle ./. Folgenabschätzung

Birgt die automatisierte Datenverarbeitung möglicherweise Risiken für die Rechte von Betroffenen, dann schreibt das § 4d Abs. 5 BDSG die Durchführung einer sog. Vorabkontrolle vor. Dies gilt insbesondere, wenn sensible Daten im Sinne von § 3 Abs. 9 BDSG betroffen sind oder wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens im Raum steht. Die Ausnahme folgt aber natürlich wiederum auf dem Fuße, das gilt nämlich dann nicht, wenn eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Folglich unterliegt zwar ein Online-Assessment allen möglichen datenschutzrechtlichen Regelungen, aber eine Vorabkontrolle  im engeren Sinne durch den Datenschutzbeauftragten inklusive der Zuziehung der Aufsichtsbehörden bei Zweifelsfällen nicht notwendig.

Die Vorabkontrolle hat den Sinn und Zweck, dass eine einer rechtlichen Überprüfung des beabsichtigten Vorhabens noch vor dessen Umsetzung erfolgt und somit Rechtsverletzungen von Betroffenen dem Grunde nach vermieden werden.

Auf den ersten Blick ersetzt die Folgenabschätzung nach § 35 DSGVO schlicht die Vorabkontrolle. In Absatz 1 heißt es: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Der Anwendungsbereich ähnelt also dem des BDSG. Es geht um besonders kritische Fälle der Datenverarbeitung wie z.B. den Umgang mit sensiblen Daten oder die Bewertung von Personen durch automatisierte Verfahren (siehe hierzu auch Teil 2). Absatz 3 enthält dabei ähnlich wie § 4 d Abs. 5 BDSG Regelbeispiele, die da lauten wie folgt:

Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Neu ist allerdings, dass definitiv der Verantwortliche selbst, also das Unternehmen, für die Folgenabschätzung verantwortlich ist. Sofern jedoch ein Datenschutzbeauftragter benannt wurde, muss dessen Rat eingeholt werden
Anders als bisher werden weiter für die Folgenabschätzung auch mit Art. 35 Abs. 7 DSGVO inhaltliche Vorgaben zum „wie“ der Prüfung vorgegeben. So soll eine Folgenabschätzung zumindest enthalten:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Konsultation der Aufsichtsbehörde

Falls das Ergebnis der Folgenabschätzung beim Unternehmen lautet, dass die Verarbeitung ein hohes Risiko für die Rechte/Freiheiten von Betroffenen bedeutet, schreibt Art. 36 DSGVO, also ähnlich wie § 4e BDSG, die Konsultation der zuständigen Aufsichtsbehörde vor. Hier wird es jetzt spannend:

Kommt die Behörde zum Schluss, dass die geplanten Datenverarbeitungen gegen die Verordnung verstoßen, unterbreitet die Aufsichtsbehörde nach Art. 36 Abs. 2 BDSG binnen 8 Wochen nach Erhalt des Ersuchens schriftliche Empfehlung bezüglich des Projekts und/oder kann eben Ihre Befugnisse nach Art. 58 DSGVO ausüben. Was auch heißt, dass die DSGVO die Datenverarbeitung untersagen kann. Wenn es sich um einen besonders komplexen Fall handelt, dann kann die Behörde (!) die Frist um sechs Wochen verlängern.

Fazit

In der Theorie klingt das ganz gut. Aber praktisch? Wenn man sich die personelle Ausstattung der Aufsichtsbehörden derzeit anschaut, dann vermag man kaum zu glauben, dass eine dieser Behörden binnen 14 Wochen in der Lage wäre hochkomplexe Datenverarbeitungsvorgänge technisch wie juristisch nachzuvollziehen. Zumal, wenn man sich vorstellte, dass nicht ein Unternehmen, sondern 50 zur gleichen Zeit vor der Tür stünden.

Das heißt, wie groß wird dann die Intention sein, sein eigenes geschäftliches Vorhaben von einer Aufsichtsbehörde prüfen zu lassen, wenn zum einen die Gefahr besteht, dass das Projekt dann in der Behörde „versickert“ und zum anderen, dass ein hohes Risiko besteht, dass einfach auf ein „zu hohes Risiko“ erkannt wird?

Praktisch wird es vermutlich so sein, dass sich Unternehmen bezüglich ihrer Vorhaben rechtliche und/oder technische Gutachten zur Folgenabschätzung, werden anfertigen lassen. „Ziel“ dieser Gutachten wird natürlich sein, dass ein „hohes Risiko“ verneint wird, um den Gang zur Aufsichtsbehörde zu vermeiden. Ergibt ein Gutachten, dass tatsächlich kein hohes Risiko vorliegt und/oder dass der Verantwortliche noch Maßnahmen zur Eindämmung des Risikos treffen kann (vgl. Art. 36 Abs. 1 DSGVO), dann werden die Unternehmen auf die Konsultation verzichten und haben mit den Gutachten Dokumente vorlegen, mit denen Sie den Aufsichtsbehörden nachweisen können, Sie hätten eine Folgenabschätzung vorgenommen.

(Hurra! Gutachten! Mensch, so was aber auch. Ach, hier kommt ausnahmsweise mal eine Heizdecke. ;-))

3.  Sicherungspflichten

Mit den Dokumentationspflichten ist es aber nicht getan. Die DSGVO kennt auch zahlreiche Sicherungspflichten. (Und streng genommen könnte man die Folgenabschätzung durchaus bereits durchaus auch als Sicherungspflicht betrachten)

a.  technisch-organisatorische Maßnahmen ./. Sicherheit der Verarbeitung

Das BDGS verlangte bislang mit § 9 BDSG, das Unternehmen die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Joa. Soweit so bekannt. (So wenig umgesetzt. *hüstel). Die „Sicherheit der Datenverarbeitung“ regelt nun Art. 32 DSGVO

Im Vergleich zum bestehenden Anforderungskatalog des BDSG (Anlage zu § 9 BDSG) bestehen dabei einige Unterschiede.

Gewährleistet werden muss zunächst einmal „nur noch“ ein dem Risiko angepasstes Schutzniveau – nicht mehr per se der „optimalste“ Schutz. Zur Beurteilung der Frage, wann das der Fall ist, müssen gemäß Art. 32 Abs. 1 DSGVO der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten angemessen berücksichtigt werden. Die Höhe des Schutzniveaus ist damit immer einzelfallabhängig.

Maßnahmenkatalog des Art. 32 DSGVO

Aber Art. 32 Abs. 1 hält einen „Maßnahmen-Katalog“ bereit, mit dem ein dem Risiko angemessenes Schutzniveau erreicht werden kann, hier heißt es:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Ja. Nun. Alles klar. Oder?

Art. 25 – Datenschutz durch Technikgestaltung und Voreinstellungen

An dieser Stelle hilft aber noch Artikel 25 weiter. Hier geht es um den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – vermutlich besser bekannt als „Privacy by design“ und „Privacy by default“ Gemeint ist damit einerseits, dass datenverarbeitende Unternehmen künftig schon ab dem Zeitpunkt der Entwicklung (‚design‘) und Erstellung von Apps, Websites etc. die Datenschutzgrundsätze (z.B. Datenminimierung) beachten und die Einhaltung dieser durch entsprechende technische und organisatorische Maßnahmen sicherstellen müssen. Zum anderen gilt es darüber hinaus Voreinstellungen (‚default‘) derart vorzunehmen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Wer nun meint, schöne Idee, aber… ach, da kümmert sich doch seit Jahren keiner drum, der sei freundlich auf Art. 25 Abs. 3 und vor allem auf Art. 83 Abs. 4 DSGVO (ja, das ist der mit den Bußgeldern) hingewiesen.

Aus Art. 25 Abs. 3 DSGVO lässt sich durchaus eine Art Dokumentationspflicht ablesen. Und Art. 83 Abs. 4 DSGVO statuiert ganz klar, dass Verstöße gegen Art. 25 mit Bußgeldern geahndet werden können…

4.  Meldepflichten

Sofern Dritte auf unrechtmäßige Weise (z.B. durch ein „Datenleck“) Zugriff auf Daten bekommen und dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, haben Unternehmen schon jetzt Meldeverpflichtungen gegenüber Aufsichtsbehörden und Betroffenen (§ 42a BDSG) zu erfüllen. Mit Inkrafttreten der DSGVO werden diese Pflichten verschärft.

Eine Beschränkung auf die o.g. Fälle findet sich in Art. 33, 34 DSGVO nämlich nicht mehr. Soll heißen,  künftig muss  jeder Fall rechtswidriger Datenverarbeitung gemeldet werden. Jedenfalls sofern  die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ist das der Fall, hat die Meldung gegenüber der Aufsichtsbehörde  unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung zu erfolgen.

Zusätzlich zu und unabhängig von der Meldepflicht wird künftig daneben eine Dokumentationspflicht für Datenschutzverletzungen bestehen. Festzuhalten sind dann von den Verantwortlichen sowohl die Verletzungen selbst als auch alle mit ihr im Zusammenhang stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen.

Auftragsverarbeiter unterliegen dieser Dokumentationspflicht so nicht;  sie müssen Verstöße aber gegenüber dem Verantwortlichen melden (Art. 33 Absatz 2).

[Natürlich sind unter Umständen auch die Betroffenen zu informieren sind, aber damit beschäftigen wir uns im Rahmen der Informationspflichten und Auskunftsrechte beim nächsten Mal.]

Fazit

Abschließend lässt sich soweit festhalten, dass deutsche Unternehmen nach bereits jetzt schon geltender Rechtslage vielen Dokumentations- und Sicherungspflichten sowie auch Meldepflichten unterliegen. Wenn Sie nach geltender Rechtslage gut aufgestellt sind, dann haben Sie gar nicht mehr so viel zu tun. Gut oder?

Praktisch ist es jedoch so, dass diese datenschutzrechtlichen und -technischen Verpflichtungen von zahlreichen Unternehmen immer noch arg vernachlässigt werden. Das Thema Datenschutz wird eben noch lange nicht so ernst genommen wie etwa „Die Haftung des GmbH-Geschäftsführers“. Nun, denn, es sind noch 21 Monate Zeit. Bis dahin sollten Sie sich und ihr Unternehmen auch einmal mit den datenschutzrechtlichen Grundanforderungen vertraut machen und diese in ihrem Unternehmen umsetzen – es sei denn, Sie wollen ab 2018 unliebsame Überraschungen ins Haus bekommen. Ob Ihnen die Regelungen der DSGVO gefallen, ob Sie sie für praxistauglich halten oder für Nonsense – das interessiert nicht, sie werden nun einmal Gesetz. [Und glauben Sie mir, Datenschutz kann Spaß bringen, wirklich! Vollkommen ironiefrei. 🙂 ]

Nun aber genug. Sie haben, es bis hierhin geschafft. Großartig. Kommen Sie aber gerne wieder. Denn über die Informationspflichten der Unternehmen und die Auskunftsrechte haben wir noch gar kein Wort verloren. Doch ich mag nach kanpp 3.000 Wörtern nicht mehr und Sie haben vermutlich auch schon ganz flügellahme Augen und einen schwirrenden Kopf. Und so belassen wir es mal an dieser Stelle dabei.

In diesem Sinne,

auf bald!

*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und ist daneben seit Oktober 2015 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.

Bisher in der Reihe zur DSGVO außerdem erschienen:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 8 – Der Datenschutzbeauftragte unter der DSGVO

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

4 Gedanken zu „Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 4

  1. Norbert Mensak

    Hallo Frau Diercks,
    gut gebrüllt – Respekt! 😉
    Ihre Beiträge sind pragmatisch, voller Fakten, hilfreich und auch echt erfrischend, um in dem DSGVO-Tümpel auf die andere Seite zu schwimmen …
    … ich bin derjenige, der Ihnen am 2. August nach Ihrem engagierten Vortrag am Timmendorfer Strand gratuliert hat. Hoffe, sie haben die wenig konstruktiven Beiträge einiger knorriger Teilnehmer schon wieder vergessen 🙂 Beste Grüße … und freu mich auf den nächsten Beitrag!

    Antworten
    1. Nina Diercks Beitragsautor

      Lieber Herr Mensak,

      haben Sie herzlichen Dank für diesen Kommentar. Darüber freue ich mich doch sehr. Und die nächsten Beiträge zur DSGVO sind schon im Werden…Herzlich, Nina Diercks

      Antworten
  2. Doc C

    Eine Nachfrage zu Art. 30 (5) DSGVO:
    Dort steht, dass Unternehmen mit weniger als 250 Mitarbeitern von den Pflichten aus Art 30 (1) befreit sind, es sei denn, die Verarbeitung geschieht nicht nur gelegentlich.
    Art 30 (1) bezieht sich aber auf das Verzeichnis, nicht auf einzelne Verfahren.

    Im Text schreiben Sie aber, dass ein 100-Mann-Unternehmen, dann nur die regelmäßigen Verfahren beschreiben muss. Ich glaube, dies ist nicht ganz korrekt. Entweder muss ein komplettes Verfahrensverzeichnis geführt werden, oder unter den Vorraussetzungen von Art. 30 (1) gar keins. Wobei mir eigentlich kein Beispiel für 249-Mitarbeiter-Unternehmen einfallen kann, bei dem die Verarbeitung nicht nur gelegentlich erfolgt

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.