Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
Unsere kommenden zwei Blogbeiträge beschäftigen sich mit der Frage, welche Änderungen Unternehmen bei der Planung und Aufstellung eines Datenschutzmanagements zukünftig beachten müssen. Fest steht zwar, dass die DSGVO weiterhin Unternehmen verpflichtet ein umfassendes Datenschutzmanagement zu unterhalten. In der Praxis stellen sich hier jedoch viele Detailfragen:
Kann beispielsweise das bereits erstellte alt bewährte Verfahrensverzeichnis unverändert übernommen werden? Besteht noch eine Pflicht zur Durchführung von Vorabkontrollen? Müssen Mitarbeiter weiterhin auf das Datengeheimnis verpflichtet werden? Welche Datenschutzverstöße sind wem zu melden? Ist es für mein Unternehmen noch zwingend erforderlich einen betrieblichen Datenschutzbeauftragten zu bestellen?
Altes Verfahrensverzeichnis/ neues Verzeichnis von Verarbeitungstätigkeiten
Regelungen zum Verfahrensverzeichnis finden sich aktuell vor allem in § 4g Abs. 2 BDSG (Bundesdatenschutzgesetz). Hiernach hat die verantwortliche Stelle dem betrieblichen Datenschutzbeauftragten eine Übersicht über u.a. den Zweck der Datenverarbeitung, Datenarten und Löschfristen zur Verfügung zu stellen. Das Verfahrensverzeichnis ist (mit Ausnahme der Darstellung der technischen und organisatorischen Maßnahmen) auf Antrag jedermann zur Verfügung zu stellen.
In der neuen DSGVO wird Unternehmen künftig in Art. 30 DSGVO das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten vorgeschrieben. Inhaltlich ähnelt die neue Dokumentation dem bekannten Verfahrensverzeichnis. Es müssen weiter die wesentlichen Informationen der Datenverarbeitung zusammengefasst werden, also wiederum u.a. Angaben zu Zweck der Verarbeitung, Löschfristen und Empfänger.
Neuerungen bestehen insoweit, dass die dokumentierten Verfahren nicht mehr „Jedermann“, sondern nur noch den Aufsichtsbehörden auf Antrag zur Verfügung gestellt werden müssen. Entsprechend entfällt zukünftig auch die Differenzierung zwischen einem öffentlichen und einem internen Teil des Verfahrensverzeichnisses. Auch für Auftragsverarbeiter werden die Änderungen der DSGVO spürbar sein, da diese die neue Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten zukünftig auch treffen wird.
Hinsichtlich der neuen Dokumentationspflichten sieht Art. 30 Abs. 5 DSGVO zudem Erleichterungen für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme von der Verzeichnispflicht wir jedoch voraussichtlich nur selten greifen, da diese u.a. nur gilt, soweit die durchgeführte Datenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonders sensibler Daten einschließt.
Verstöße gegen die Pflichten aus Art. 30 DSGVO können für Unternehmen teuer werden. Nach Art 83 Abs. 4 DSGVO können Aufsichtsbehörden Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Alte Vorabkontrolle/ neue Folgenabschätzung
Auch die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG) wird sich so in der Grundverordnung nicht wiederfinden. Zukünftig werden hingegen sog. Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) eine wichtige Rolle spielen.
Bislang war eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten durchzuführen, soweit besonders sensible Daten nach § 3 Abs. 9 BDSG betroffen waren oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Bestimmte Anforderungen an Ablauf und Dokumentation der Vorabkontrolle sah das BDSG nicht vor.
Die Fälle, in denen eine Datenschutz-Folgenabschätzung durchgeführt werden muss, ähneln grundsätzlich stark denen der Vorabkontrolle. Neu ist jedoch, dass zukünftig die jeweilige Aufsichtsbehörde für ihren Zuständigkeitsbereich eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen muss, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
Auch zur inhaltlichen Dokumentation der Datenschutz-Folgenabschätzung werden nunmehr in Art 35 DSGVO explizite Mindestvorgaben gemacht. Die Folgenabschätzung hat hiernach zumindest Folgendes zu enthalten:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.
Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).
Auch Verstöße gegen die Pflichten aus Art. 35 DSGVO sind aus Unternehmenssicht zu vermeiden, da erneut Art 83 Abs. 4 DSGVO Anwendung findet und Aufsichtsbehörden Geldbußen in erheblicher Höhe verhängen können.
Verpflichtung auf das Datengeheimnis/ Mitarbeiterschulungen
Das BDSG hat bisher in § 5 Unternehmen dazu verpflichtet, die Mitarbeiterinnen und Mitarbeiter zu Beginn ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Dies ist eine einseitige Erklärung des Arbeitgebers, dass personenbezogenen Daten nicht unbefugt verwendet werden dürfen. Zu Beweiszwecken lassen die Unternehmen sich diese Erklärung unterzeichnen und nehmen sie zur Personalakte.
Eine solche Pflicht kennt die Datenschutzgrundverordnung nicht mehr. Wir raten aber dringend dazu die Verpflichtungserklärung weiter im Einsatz zu halten. Das Unternehmen hat als verantwortliche Stelle nach Art. 24 DSGVO sicherzustellen, dass personenbezogene Daten in einer Weise verarbeitet werden, die ein angemessenes Sicherheitsniveau gewährleistet. Dies beinhaltet auch den Schutz gegen unberechtigte oder ungesetzliche Verarbeitung. Darüber hinaus sollen angemessene technische und organisatorische Maßnahmen getroffen werden, die gegen Verlust, Zerstörung oder Schäden an den Daten schützen sollen.
Hieraus kann man lesen, dass die Mitarbeiter als diejenigen, die personenbezogene Daten verarbeiten, ebenfalls Ziel solcher Maßnahmen sind. Auch hier muss das Unternehmen sicherstellen, dass der Mitarbeiter die Daten nicht unberechtigt oder gegen geltende Gesetze verarbeitet.
Eine explizite Verpflichtung auf das Datengeheimnis lässt sich daraus nicht herleiten. Sicher ist aber, dass das Unternehmen im Rahmen eines „angemessenen Schutzniveaus“ für personenbezogene Daten dafür Sorge tragen muss, dass die Mitarbeiterinnen und Mitarbeiter erkennen können, wann sie ggf. mit der Datenverarbeitung gegen Gesetze verstoßen bzw. unberechtigt Daten verarbeiten.
Dies kann bspw. auch durch Schulungen geschehen. Hier ist dann auch im Rahmen der DSGVO dem Unternehmen zu raten Schulungen durchzuführen und durch Teilenehmerlisten zu dokumentieren, dass solche als Maßnahme des „angemessenen Schutzniveaus“ getroffen werden.
Nach Art. 39 DSGVO ist es die Aufgabe des Datenschutzbeauftragten solche Mitarbeiter zu schulen. Hierin erweist es sich von Vorteil einen Datenschutzbeauftragten zu haben, der auch solche Maßnahmen koordiniert und durchführt.
Eine konkrete Strafandrohung gibt es bei Verletzung des Art. 24 DSGVO für die Unternehmen nicht. Allerdings lässt die DSGVO in Art. 58 der Aufsichtsbehörde die Möglichkeit, Unternehmen entsprechend anzuweisen Mängel in den technischen und organisatorischen Maßnahmen zu beheben. Befolgt das Unternehmen dies nicht, kann ein Bußgeld nach Art. 83 Abs. 5 (e) DSGVO verhängt werden.
In unserem kommenden Blogbeitrag zum Datenschutzmanagement werden wir den Fragen nachgehen, welche Datenschutzverstöße zukünftig wem zu melden sind und ob weiterhin für bestimmte Unternehmen die Pflicht besteht einen betrieblichen Datenschutzbeauftragten zu bestellen.
Weitere Beiträge zur DSGVO in unserem Blog.
Update 11.04.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 06.04.2016 angepasst.