Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
Wie in unserem letzten Blogbeitrag beschäftigen wir uns auch heute weiter mit der Frage, welche Änderungen Unternehmen bei der Planung und Aufstellung eines Datenschutzmanagements nach in Kraft treten der neuen DSGVO beachten müssen. Im Folgenden sollen die neuen Regelungen zu Benachrichtigungspflichten bei Datenpannen sowie die Verpflichtung zur Bestellung eines Datenschutzbeauftragten näher betrachtet werden.
Melde- und Informationspflichten
Mit der Grundverordnung wird der bisherige Anwendungsbereich der Meldepflichten bei Datenpannen ausgeweitet.
Aktuell obliegen Unternehmen gemäß § 42 a BDSG (Bundesdatenschutzgesetz) bestimmte Meldepflichten, soweit festgestellt wird, dass besonders schutzwürdige Daten (z.B. Gesundheitsdaten oder Konto- und Kreditkarteninformationen) unrechtmäßig an Dritte gelangt sind. Weitere Voraussetzung für die Pflicht zur Mitteilung ist, dass für die Rechte oder schutzwürdigen Interessen der Betroffenen schwerwiegende Beeinträchtigungen drohen. Die Offenlegungspflicht gilt sowohl gegenüber der zuständigen Aufsichtsbehörde als auch den jeweils Betroffenen.
Die wohl gravierendste Änderung wird sein, dass die Meldepflicht nach Art. 33 und 34 DSGVO in Zukunft unabhängig von den betroffenen Daten und der Art der Datenschutzverletzung gelten wird. Zudem werden konkrete Vorgaben für Meldefristen aufgezeigt. So ist zukünftig grundsätzlich jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Nach ihrem Wortlaut greift die Meldepflicht damit auch bei unbefugten Zugriffen innerhalb der verantwortlichen Stelle. Wie bislang bei § 42 a BDSG, gibt es aber auch eine Einschränkung der Meldepflicht. Diese entfällt, wenn es unwahrscheinlich ist, dass die Verletzung personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten von Personen führt. Dies wird zukünftig das Einfallstor für eine entsprechende Argumentation sein.
Die Meldung muss mindestens die folgenden Informationen enthalten:
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten.
- Soweit möglich und angezeigt, eine Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze.
- Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen.
- Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
- Eine Beschreibung der von dem für die Verarbeitung Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten einschließlich von Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen.
Die dargestellten Mindestinformationen können nach den Vorgaben der DSGVO -soweit geboten – auch schrittweise zur Verfügung gestellt werden.
Als weitere wichtige Neuerung ist anzumerken, dass Unternehmen nach in Kraft treten der DSGVO einer bislang nicht bestehenden Dokumentationspflicht unterliegen werden, die unabhängig von der Meldepflicht besteht. Zukünftig sind alle etwaigen Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation soll (und muss) der Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflichten ermöglichen. Unternehmen haben daher Vorfälle fortlaufend zu dokumentieren und insbesondere sofern eine Meldung unterbleibt schriftlich – vom Datenschutzbeauftragten – festzuhalten, mit welcher Argumentation von einer Meldung trotz Vorfall abgesehenen wurde
Die Meldepflicht wird weiterhin nicht direkt für Auftragsverarbeiter gelten. Art. 33 Abs. 2 DSGVO legt nunmehr explizit fest, dass der Auftragsverarbeiter nach Feststellung einer Verletzung des Schutzes personenbezogener Daten diese dem für die Verarbeitung Verantwortlichen ohne unangemessener Verzögerung melden muss.
Die jeweils betroffenen Personen mussten bislang immer informiert werden, wenn eine Meldepflicht gegenüber der Aufsichtsbehörde bestand. Zukünftig müssen diese gemäß Art 34 DSGVO nur noch ggf. zusätzlich neben der Aufsichtsbehörde informiert werden, soweit ein hohes Risiko für die persönlichen Rechte und Freiheiten besteht. Doch auch falls ein solch hohes Risiko angenommen werden kann, muss zusätzlich noch nach Art. 34 Abs. 3 DSGVO geprüft werden, ob ein Befreiungsgrund von der Benachrichtigungspflicht vorliegt. Eine Benachrichtigung ist hiernach entbehrlich, wenn geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die betreffenden Daten für alle Personen, die nicht zum Zugriff auf die Daten befugt sind, unverständlich gemacht werden, etwa durch Verschlüsselung. Dies bedeutet, dass Meldepflichten gegenüber Betroffenen zumeist nicht bestehen, wenn die Datenpanne ausschließlich verschlüsselte Daten betrifft.
Auch soweit die Benachrichtigung der betroffenen Person mit einem unverhältnismäßigen Aufwand verbunden wäre, liegt ein Befreiungsgrund von der Benachrichtigungspflicht vor. In diesen Fällen hat jedoch stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Verstöße gegen die Pflichten aus Art. 33 und 34 DSGVO sind bußgeldbewehrt. Nach Art 83 Abs. 4 DSGVO können Aufsichtsbehörden Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Der betriebliche Datenschutzbeauftragte
Die bisherige Rechtslage für die Bestellung des Datenschutzbeauftragten sagt im Grundsatz u.a., dass Unternehmen, die personenbezogene Daten verarbeiten, einen Beauftragten für den Datenschutz schriftlich zu bestellen haben, wenn damit mehr als neun Personen beschäftigt sind.
Art. 37 der DSGVO kennt einen solchen Schwellenwert nicht mehr. Hier werden andere Voraussetzungen geschaffen. So ist ein Datenschutzbeauftragter durch Unternehmen zu bestellen, wenn die Kerntätigkeit des Unternehmens „in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“, oder die Kerntätigkeit besonders sensible Daten betrifft, wie zum Beispiel Gesundheitsdaten.
Die DSGVO erlaubt auch, dass Unternehmensgruppen einen gemeinsamen Datenschutzbeauftragten ernennen können.
Allerdings findet sich in Art. 37 auch eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, eine weitergehende Regelung zu treffen und z.B. die bestehende Gesetzeslage beizubehalten. Hierfür will der Gesetzgeber bis zum Sommer Klarheit schaffen.
Eine freiwillige Bestellung bleibt jederzeit möglich und ist bei einer gewissen Unternehmensgröße auch dringend geraten. Allein die zwei Beiträge zum Datenschutzmanagement haben gezeigt, dass die Pflicht aus der DSGVO nicht kleiner, sondern umfangreicher werden (Melde-, Dokumentations-, Schulungspflichten, Folgeabschätzungen). Ohne professionelle Beratung werden diese Pflichten vom Unternehmen selbst nicht mit geringerem Aufwand abzubilden sein. Abgesehen davon, dass Haftungsrisiken vollständig beim Unternehmen verbleiben.
Zu beachten ist, dass ein Unternehmen ein Bußgeld von bis zu 10 Mio. Euro bzw. 2 % des Jahresumsatzes riskiert, wenn es gegen die Pflicht zur Bestellung nach Art. 37 verstößt, was auch eine nationale Bestellpflicht umfasst.
Weitere Beiträge zur DSGVO in unserem Blog.
Update 11.04.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 06.04.2016 angepasst.