Mindestanforderungen zur Umsetzung der DSGVO

Lesezeit: ca. 7 Minuten


Seit dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (DS-GVO). Viele Behörden und Unternehmen sind bei der Umsetzung noch auf dem Weg, und es stellt sich die Frage, in welchem Umfang eine datenschutzrechtliche Dokumentation notwendig ist und welche Mindestanforderungen zur Umsetzung der DS-GVO bestehen.

Vielfach wird auch nach einem Basis-Datenschutz gefragt, da bereits aus kaufmännischen Gründen häufig kein Interesse besteht, weitgehende datenschutzrechtliche Maßnahmen zu treffen.

Zu bedenken ist aber, dass eine gute datenschutzrechtliche Betrachtung und Dokumentation auch eine Qualitätsverbesserung in der Informationstechnologie bedeuten kann. Insbesondere die Anforderungen in Art. 32 DS-GVO, die sich mit der Sicherheit der Verarbeitung beschäftigen, sind ein guter Ansatzpunkt, um die eigenen IT-Sicherheitsmaßnehmen zu überprüfen.

Die Aufsichtsbehörden sehen verschiedene Maßnahmen als unbedingt notwendig an, um die DS-GVO rechtlich angemessen umzusetzen.

Verzeichnis der Verarbeitungstätigkeiten

Unabhängig von der Unternehmensgröße und auch unabhängig von der Frage, ob ein Datenschutzbeauftragter bestellt werden muss, wird gem. Art. 30 DS-GVO erwartet, dass Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Mit diesem Dokument soll ein Überblick über die verschiedenen Verarbeitungsprozesse dokumentiert werden, in denen personenbezogene Daten verarbeitet werden. Diese Anforderung trifft jede Apotheke, jeden Arzt, jede Behörde, Kleinbetriebe und Großkonzerne.

In einem Verzeichnis der Verarbeitungstätigkeiten wird unter anderem dokumentiert, für welchen Zweck personenbezogene Daten verarbeitet werden, wie lange die Speicherung erfolgt und wer Zugriff auf diese Daten hat.

Die Datenschutzaufsichtsbehörden haben mittlerweile Handreichungen für kleinere Unternehmen erstellt, sodass ausreichende Muster für die Erarbeitung eines Verzeichnisses der Verarbeitungstätigkeiten vorhanden sind. Insoweit hält sich der Aufwand auch bei kleineren Unternehmen in Grenzen. Sicherlich sind bei Unternehmen, die umfangreich mit personenbezogenen Daten umgehen, umfangreichere Maßnahmen und Dokumentationen notwendig.

Informationspflichten gem. DSGVO

Die DS-GVO betont anders als das bisherige Datenschutzrecht, dass Betroffene, deren personenbezogene Daten verarbeitet werden, umfangreich über die Datenverarbeitungsprozesse informiert werden sollen.

Die einschlägigen Vorschriften finden sich in Art. 13 und in Art. 14 DS-GVO. Auch hier gibt es mittlerweile Muster, die die Erstellung entsprechender Informationsschreiben erleichtern. Dabei gibt es hier statische Informationspflichten, beispielsweise über die Betroffenenrechte (Auskunft, Löschung, Berichtigung, etc.) oder das Beschwerderecht bei einer Aufsichtsbehörde.

Daneben gibt es auch variable Informationspflichten, insbesondere über den Zweck und die Rechtsgrundlage der jeweiligen Datenverarbeitung, die Speicherdauer der bezogenen Daten und ggf. Informationen zu einer Weitergabe an Dritte.

Rechtsgrundlagen bei der Datenverarbeitung

Im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten und den Informationspflichten fordert der Gesetzgeber auch die Angabe der Rechtsgrundlage für die Verarbeitungstätigkeit. Hier stellt die DS-GVO klar, dass für jede Verarbeitungstätigkeit eine Rechtsgrundlage notwendig ist. Diese ist auch ausdrücklich im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

Der Gesetzgeber fordert auch, dass in den Informationspflichten auf die jeweilige Rechtsgrundlage hingewiesen wird. So kann ein Betroffener, dessen personenbezogene Daten verarbeitet werden, im Einzelnen prüfen, ob die angegebene Rechtsgrundlage ein ausreichender Grund für die Datenverarbeitung ist.

Typische Rechtsgrundlagen sind die Einwilligung, ein Vertrag oder auch vorvertragliche Tätigkeiten, lebenswichtige Interessen des Betroffenen oder auch ein öffentliches Interesse. Eine Besonderheit in Art. 6 Abs. 1 lit. f) DS-GVO vorgesehen. Hier kann im Rahmen einer Interessenabwägung eine Rechtsgrundlage für die Datenverarbeitung entstehen.

Dann ist aber im Rahmen der Informationspflichten der Betroffene darüber zu informieren, welche Interessen zu einer berechtigten Datenverarbeitung führen.

Bei einer Einwilligung ist zu bedenken, dass diese jederzeit widerrufen werden kann. Der Widerruf gilt dann für die Zukunft. Die Datenverarbeitung, für die in der Vergangenheit eine Einwilligung vorlag, bleibt rechtmäßig. Die Beweislast, dass eine ausreichende und den Anforderungen der DS-GVO genügende Einwilligung vorliegt, hat die jeweils datenverarbeitende Stelle.

Auftragsverarbeitung gem. DSGVO

Wenn personenbezogene Daten eines Unternehmers oder auch einer Behörde an Dritte gegeben werden, liegt zumeist ein Fall der Auftragsverarbeitung vor. Dann erwartet der Gesetzgeber, dass ein gesonderter Vertrag zur Auftragsverarbeitung abgeschlossen wird.

Vorteil einer solchen vertraglichen Beziehung ist, dass keine gesonderte Einwilligung des Betroffenen notwendig ist, um die Daten an den Auftragsverarbeiter weiterzugeben.

Die einzelnen Anforderungen an einen entsprechenden Vertrag zur Auftragsverarbeitung sind in Art. 28 DS-GVO festgelegt. Auch hier gibt es mittlerweile von den Datenschutzaufsichtsbehörden entsprechende Muster.

Wenn die Tätigkeit eines Dienstleisters nicht in die Auftragsverarbeitung fällt, ist zunächst die Weitergabe an den Dritten ausgeschlossen. Nur wenn ein Betroffener ausdrücklich eine Einwilligung erteilt hat, kann hier eine Weitergabe der personenbezogenen Daten an einen Dritten erfolgen.

Meldepflichten

Die DS-GVO erwartet, dass personenbezogene Daten gegen unbefugte und ungewollte Zugriffe von außen und innen bestmöglichst geschützt werden. Sollten dennoch personenbezogene Daten abhandenkommen, ergeben sich Meldepflichten nach Art. 33 und 34 DS-GVO.

Hier kann eine Meldepflicht gegenüber der Aufsichtsbehörde und gegenüber den Betroffenen, deren Daten abhandengekommen sind, entstehen. Die DS-GVO hat hier ein abgestuftes Meldeverfahren vorgesehen. Die Meldung an die Aufsichtsbehörde hat eine niedrigere Schwelle als die direkte Meldung an die Betroffenen.

Wichtig ist dabei, dass Verantwortliche nicht nur Datenschutzpannen im eigenen Unternehmen melden müssen, sondern auch für ihre Dienstleister und wiederum deren Subunternehmer verantwortlich sind. Insoweit ist in den jeweiligen Verträgen genau zu regeln, dass auch Subunternehmer und Dienstleister und deren Dienstleister für eine möglichst schnelle Meldung und Information über Datenschutzpannen an den Verantwortlichen sorgen.

Nur dann kann die kurze Meldefrist von 72 Stunden, die der Gesetzgeber vorgesehen hat, eingehalten werden. Die Frist von 72 Stunden läuft auch an Wochenenden oder an Feiertagen wie zum Beispiel Weihnachten.

Typische Situationen, die zu einer Meldepflicht führen können, sind:

  • fehlerhafter Versand von Briefen oder Gehaltsabrechnungen,
  • Hacking eines Onlineshops,
  • Diebstahl oder Verlust eines Handys, Tablets oder Laptops,
  • offener E-Mail-Verteiler,
  • Softwarefehler.

Nach den bisherigen Erfahrungen sollte die Meldepflicht sehr ernst genommen werden. Die Datenschutzaufsichtsbehörden reagieren nach unseren bisherigen Erfahrungen durchaus „empfindlich“, wenn entsprechende Meldungen unvollständig, zu spät oder nicht übermittelt werden.

Nach den uns vorliegenden Informationen beabsichtigen die Aufsichtsbehörden im Falle solcher gemeldeten Datenschutzpannen, sich die jeweiligen Behörden und Unternehmen genauer anzuschauen. Hier ist deutlich darauf hinzuweisen, dass die Meldepflicht sowohl für Unternehmen als auch für Behörden gilt.

Wir erwarten in solchen Datenschutzpannen, dass zumindest von der Datenschutzaufsichtsbehörden das jeweilige Verzeichnis der Verarbeitungstätigkeit abgefordert wird, um zu prüfen, ob ausreichende Maßnahmen für die Datenschutzorganisation ergriffen worden sind.

Sicherheit der Verarbeitung

Art. 32 DS-GVO erwartet neben den zuvor beschriebenen Meldepflichten, dass ein besonderer Schwerpunkt auf den Schutz der personenbezogenen Daten gelegt wird. Unbefugte Verarbeitung, Hackerangriffe und andere Datenschutzpannen sollen möglichst vermieden werden.

Hier erwartet die DS-GVO nicht für alle Datenverarbeitungsprozesse ein einheitliches Niveau, sondern das Gesetz stellt auf die jeweiligen Risiken ab. Insoweit ist zunächst festzulegen, welcher Schutzbedarf für die jeweiligen personenbezogenen Daten notwendig ist. Auf Basis dieses Schutzbedarfs kann dann festgelegt werden, welche Maßnahmen im Einzelnen notwendig sind.

Insgesamt ist zu dokumentieren, welche technischen und organisatorischen Maßnahmen für die IT-Sicherheit ergriffen worden sind. Das Gesetz betont beispielsweise, dass Verschlüsselung von personenbezogenen Daten als Standard anzusehen ist.

Insgesamt sieht die DS-GVO die Maßnahmen zur IT-Sicherheit nicht als einmalige Aktion, sondern als Daueraufgabe. Dies betrifft auch alle anderen Anforderungen zur Datenschutzorganisation.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung ist notwendig, wenn besondere Risiken bei der Datenverarbeitung entstehen. Hier soll im Vorfeld eine datenschutzrechtliche Bewertung erfolgen, inwieweit datenschutzrechtliche Bedenken gegen bestimmte Verarbeitungen bestehen.

Insbesondere innovative Technologien oder komplexe Prozessabläufe, die riesige Datenmengen verarbeiten, erfordern eine Datenschutz-Folgenabschätzung. Die Datenschutzaufsichtsbehörden haben mittlerweile typische Datenverarbeitungsprozesse benannt, die zu einer Datenschutz-Folgenabschätzung führen.

Für KMUs wird in den meisten Fällen eine Datenschutz-Folgenabschätzung nicht notwendig sein. Nur wenn ein hohes Risiko für die betroffenen Personen vorliegt, ist eine solche aufwendige datenschutzrechtliche Bewertung notwendig.

Rechenschaftspflicht

Die oben beschriebenen Maßnahmen bilden den Basis-Datenschutz und setzen die Mindestanforderungen zur Umsetzung der DS-GVO um. Allerdings gibt es noch weitere Anforderungen, die langfristig im Rahmen einer guten Datenschutzorganisation zu beachten sind. Beispielsweise wird erwartet, dass ein Datenschutz durch Technik (Privacy by Design) beachtet wird. Auch sind in der konkreten Umsetzung nach unserer Erfahrung noch viele Details zu klären.

Die DS-GVO hat die Verantwortlichkeiten deutlich beschrieben. Gem. Art. 5 Abs. 2 DS-GVO gibt es eine Rechenschaftspflicht. Diese besagt, dass Verantwortliche der Aufsichtsbehörde bei Prüfung nachweisen müssen, dass sie die EU-Datenschutz-Grundverordnung einhalten.

Hier kann sich die Aufsichtsbehörde zunächst auf die Position stellen, dass die entsprechenden Dokumentationen vorzulegen sind. Faktisch ist dies eine Beweislastumkehr, die insbesondere in Krisensituationen und bei Datenschutzpannen Behörden und Unternehmen in eine eher unangenehme Situation bringt.

Behörden und Unternehmen, die bisher oder auch in Zukunft keine ausreichende Datenschutzdokumentation haben, können die in Art. 5 Abs. 2 DS-GVO festgelegte Rechenschaftspflicht nicht umsetzen und nachweisen, dass sie für ausreichende datenschutzrechtliche Maßnahmen gesorgt haben.

Insoweit ist ein Basis-Datenschutz dringend für jedes Unternehmen, auch für kleine und mittelständische Unternehmen notwendig. Gleiches gilt für jede Behörde.

Noch einmal sei betont, dass die Erfüllung der datenschutzrechtlichen Pflichten aus der DS-GVO unabhängig von der Frage ist, ob ein Datenschutzbeauftragter bestellt werden muss. Die Anforderung, einen Datenschutzbeauftragten zu bestellen, führt nicht dazu, dass neue Pflichten entstehen.

Die DS-GVO sieht hier den Datenschutzbeauftragten in einer eigenen Rolle, sodass ein Unternehmen ohne Datenschutzbeauftragten trotzdem organisatorisch sicherstellen muss, dass die oben beschriebenen gesetzlichen Pflichten umgesetzt werden. Hier ist eine klare Zuordnung der Verantwortlichkeiten notwendig. Außerdem muss ein Unternehmen als Managementaufgabe dafür sorgen, dass auch ein ausreichender Zeitrahmen zur Verfügung steht, um die gesetzlichen Anforderung umzusetzen.

Unvermeidlich ist an dieser Stelle noch einmal darauf hinzuweisen, dass die DS-GVO erhebliche Bußgelder vorsieht, wenn die datenschutzrechtlichen Vorgaben nicht eingehalten werden. Außerdem können Betroffene, deren personenbezogenen Daten nicht ordnungsgemäß und rechtmäßig verarbeitet worden sind, Schmerzensgeldansprüche geltend machen.

Wir unterstützen Behörden und Unternehmen bundesweit bei der Einführung eines Basis-Datenschutzes und dem Aufbau einer entsprechenden Datenschutzorganisation. Wir coachen nebenberufliche und hauptberufliche interne Datenschutzbeauftragte. Nutzen Sie unsere jahrelange Erfahrung im Datenschutz.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen