WeSaveYourCopyrights » Tipps zur Umsetzung der Datenschutzgrundverordnung (DS-GVO) – Stichtag 25.5.2018
Datenschutzgrundverordnung_DSGVO_Anwalt_Datenschutzrecht_Frankfurt_we-save-your-copyrights

Tipps zur Umsetzung der Datenschutzgrundverordnung (DS-GVO) – Stichtag 25.5.2018

Der Countdown für die Umsetzung der europäischen Datenschutzgrundverordnung (DS-GVO) läuft – Was bedeutet das konkret für Ihr Unternehmen? In diesem Beitrag beleuchten wir die sich aus der europäischen Datenschutzgrundverordnung (DS-GVO) ergebenden Pflichten für Unternehmen, Freiberufler und Selbstständige. Außerdem enthält der Beitrag zahlreiche Hinweise und Tipps, was bei der Umsetzung der DS-GVO zu beachten ist.

 

Wer ist von der Datenschutzgrundverordnung betroffen?

 

Die DS-GVO betrifft alle Unternehmen und Unternehmer, also auch Einzelunternehmer, Selbstständige, Start-Ups und Freiberufler und zwar unabhängig von der Anzahl der Mitarbeiter und unabhängig vom Jahresumsatz. Lediglich die Bestellung eines Datenschutzbeauftragten knüpft an zusätzliche Merkmale wie beispielsweise die Anzahl von Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG-neu) oder daran, dass eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet (Art. 37 (1) b) DS-GVO an.

 

 

Was ist die Rechtsgrundlage für den Datenschutz im Unternehmen?

 

Entscheidende Bestimmungen zum Datenschutz in Unternehmen finden sich künftig vor allem in der europäischen Datenschutzgrundverordnung (DS-GVO) sowie ergänzend im neuen Bundesdatenschutzgesetz (BDSG-neu). Sowohl die DS-GVO, als auch das BDSG-neu gelten verbindlich ab dem 25.5.2018. Bis dahin müssen alle Unternehmer die sich für sie ergebenden rechtlichen Pflichten erfüllen und die Anforderungen der DS-GVO und des BDSG-neu umsetzen.

 

 

Was sind überhaupt personenbezogene Daten?

 

„Personenbezogene Daten“ sind alle Informationen, über die eine natürliche Person identifiziert werden kann (z. B. Name, Online-Kennung, Personalausweisnummer etc.) oder sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zur Identifizierbarkeit reicht es aus, wenn eine natürliche Person indirekt, z. B. mittels Zuordnung zu einer Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.

 

 

Wann liegt eine Verarbeitung personenbezogener Daten vor?

 

Datenverarbeitung ist definiert als ein mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten wie beispielsweise das Erheben, die Speicherung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung sowie das Löschen oder die Vernichtung von Daten.

 

 

Bei der Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung geltende allgemeine Grundsätze

 

  • personenbezogene Daten dürfen grundsätzlich nur dann verarbeitet werden, wenn hierfür ein gesetzlicher Erlaubnistatbestand existiert oder eine freiwillige und (ggf. ausdrückliche) Einwilligung der Betroffenen Person vorliegt

 

  • als gesetzliche Erlaubnistatbestände kommen beispielsweise die Erfüllung vertraglicher Pflichten, die Erfüllung einer rechtlichen Verpflichtung (z. B. die steuerrechtliche Aufbewahrungspflicht) oder ein so genanntes berechtigtes Interesse, das nicht durch höherrangige Interessen der betroffenen Person überwogen wird (z.B. die Erfassung von IP-Adressen auf deiner Internetseite zwecks Gewährleistung der IT-Sicherheit) in Betracht

 

  • es sollten immer nur so viele Daten erhoben und verarbeitet werden wie unbedingt notwendig (Grundsatz der Datensparsamkeit)

 

  • nicht oder nicht mehr benötigte Daten müssen zeitnah gelöscht werden

 

  • personenbezogene Daten dürfen nur für den vorher definierten Zweck verwendet werden und keinesfalls für andere Zwecke

 

  • bei der Weitergabe von Daten an Dritte dürfen nur die Daten weitergegeben werden, die für den damit verbundenen Zweck unbedingt erforderlich sind

 

  • personenbezogene Daten dürfen nur so lange gespeichert werden wie es der Zweck oder eine gesetzliche Verpflichtung erfordern

 

  • es muss sichergestellt werden, dass personenbezogene Daten korrekt verarbeitet und vor Verlust, Missbrauch und unbefugtem Zugriff geschützt werden

 

  • je sensibler verarbeitete personenbezogene Daten sind, desto höher sind auch die Anforderungen an die Maßnahmen zum Datenschutz, insbesondere an die IT-Sicherheit

 

  • Mitarbeiter sollten für das Thema Datenschutz sensibilisiert und regelmäßig geschult werden

 

 

Welcher Handlungsbedarf besteht für Unternehmen?

 

Aus der Datenschutzgrundverordnung ergibt sich für alle Unternehmen und Unternehmer ein nicht zu unterschätzender Handlungsbedarf. Dieser richtet sich unter Anderem auf:

 

  • die Überprüfung oder Erstellung eines DS-GVO-kompatiblen Datenschutzkonzepts einschließlich des Mitarbeiterdatenschutzes

 

  • die Anpassung sämtlicher Datenverarbeitungsprozesse unter Anderem im Hinblick auf deren rechtliche Zulässigkeit und die Rechtsgrundlage der Zulässigkeit

 

  • die Überprüfung der Sicherheit der Datenverarbeitung (unter besonderem Augenmerk der technischen und organisatorischen Maßnahmen zur Verhinderung von Datenschutzverstößen)

 

  • die Überprüfung oder Erstellung eines Löschkonzepts

 

  • die Anpassung bestehender Auftragsdatenverarbeitungsverträge

 

  • die Anpassung von Datenschutzerklärungen bzw. Datenschutzhinweisen (z.B. auf der Internetseite oder in Bezug auf Newsletter-Empfänger, Kunden etc. )

 

  • die etwaige Information oder Einholung einer (neuen) Einwilligung in Bezug auf vorhandene Bestandsdaten von Kunden, Newsletter-Empfänger etc.

 

  • Mitarbeiterschulung

 

  • die Erstellung oder Anpassung vorhandener sog. Verarbeitungsverzeichnisse (Verzeichnis der Verarbeitungstätigkeiten)

 

  • die nachweisbare Dokumentation sämtlicher vorgenannter Vorgänge und Prozesse

 

 

Welche betrieblichen Prozesse sind von den Regeln der Datenschutzgrundverordnung betroffen?

 

Die DS-GVO verlangt eine mehr oder weniger grundlegende Anpassung der Organisationsprozesse im Unternehmen, beispielsweise im Hinblick auf:

 

  • die Prozesse rund um die Erhebung personenbezogener Daten, insbesondere bezogen auf Daten von Kunden, Vertragspartnern, Mitarbeitern, Bewerbern, Dienstleistern etc. (unter Berücksichtigung des Grundsatzes der Datensparsamkeit)

 

  • die Dokumentation und Nachweisbarkeit von datenverarbeitenden Prozessen (beispielsweise in Form sog. Verzeichnisse der Verarbeitungstätigkeiten)
  • die Prozesse bei Datenschutzpannen und Meldung von Datenschutzverstößen an die Aufsichtsbehörde (Meldepflicht)

 

  • Abläufe und Maßnahmen bezogen auf die sog. Betroffenenrechte und deren Ausübung (z.B. im Falle eines Auskunftsersuchens oder eines Widerrufs einer Einwilligung)

 

  • die Prozesse zur Löschung von (nicht oder nicht mehr benötigten) Daten (Löschkonzept unter Berücksichtigung des Grundsatzes der Datensparsamkeit)

 

  • vorhandene Verträge im Bereich der Auftragsdatenverarbeitung müssen überarbeitet bzw. angepasst werden

 

Den Dokumentations- und Nachweispflichten kommt dabei ein besonderes Augenmerk zu. Die umfassenden Dokumentationspflichten ergeben sich beispielsweise aus Art. 5 Abs. 2, Art. 24 Abs. 2 und Art. 30 DS-GVO.

 

 

Wie kann man als Unternehmen den konkreten Umsetzungsbedarf ermitteln?

 

Die datenschutzrechtlichen Anforderungen hängen im Einzelfall von der Art und dem Umfang erhobener Daten, dem Umfang und Zweck der Verarbeitung und der Art der Verwendung der personenbezogenen Daten, dem Unternehmensgegenstand sowie von weiteren Faktoren ab.

 

Eine sorgfältige Ermittlung und Analyse der datenverarbeitenden Prozesse und deren Dokumentation sind daher essentielle Voraussetzung, um die sich daraus ergebenden konkreten Pflichten nach der DS-GVO im konkreten Fall zu ermitteln. Erst auf Grundlage einer eindeutigen Statusermittlung können die datenverarbeitenden Prozesse und deren Dokumentation DS-GVO-kompatibel angepasst werden.

 

Es empfiehlt sich daher im ersten Schritt eine Ermittlung sämtlicher datenschutzrelevanter Vorgänge im Unternehmen.

 

 

Welche Dokumente sind von Unternehmen zum Zwecke der Umsetzung der Datenschutzgrundverordnung regelmäßig zu erstellen oder anzupassen?

 

  • Verzeichnis von Verarbeitungstätigkeiten

 

  • Auftragsverarbeitungsverträge

 

  • Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten

 

  • Verschwiegenheitsverpflichtungserklärungen

 

  • Datenschutzhinweise einschließlich der Information über ggf. bestehende Betroffenenrechte (beispielsweise bei Vertragsanbahnung bezogen auf Daten des Vertragspartners oder Kunden sowie auf der Internetseite in Bezug auf die Daten der Webseiten-Besucher und/oder bei der Registrierung von Kunden)

 

  • Datenschutzrechtliche Einwilligungserklärungen (beispielsweise zum Zwecke des Newsletter-Versands per E-Mail)

 

 

Was ist ein sog. Verzeichnis von Verarbeitungstätigkeiten?

 

Das Verzeichnis von Verarbeitungstätigkeiten enthält alle datenschutzrelevanten Vorgänge in einem Unternehmen. Im Verzeichnis der Verarbeitungstätigkeiten müssen alle datenverarbeitenden Prozesse des Unternehmens detailliert dokumentiert werden. Den Inhalt und Umfang regelt Art. 30 DS-GVO. Das Verzeichnis ist schriftlich oder in elektronischer Form zu führen.

 

Es dient unter Anderem dazu, sich den Überblick darüber zu verschaffen wann, wo und zu welchem Zweck sowie auf welcher Grundlage personenbezogene Daten verarbeitet werden. Andererseits dient es auch dazu, gegenüber den Datenschutz-Behörden bei Bedarf die Art und Weise, den Umfang, den Zweck und die gesetzliche Grundlage der hauseigenen Datenverarbeitung darlegen und nachweisen zu können.

 

 

Wann liegt eine Auftragsverarbeitung vor und was sind Auftragsverarbeitungsverträge?

 

Ein Auftragsverarbeitungsvertrag ist immer dann abzuschließen, wenn personenbezogene Daten durch einen Dritten (Auftragsverarbeiter) für den Auftraggeber verarbeitet werden. Dies geschieht beispielsweise beim Versand von Newslettern über externe Dienstleister oder bei der Nutzung sog. Web-Analyse-Tools wie Google Analytics oder anderen extern gehosteten Diensten wie Cloud-Lösungen, Email-Provider, Warenwirtschaftssystemen etc. Auch in sämtlichen anderen Situationen, in denen sich ein Unternehmen Dritter bedient und dabei dem Dritten personenbezogene Daten übermittelt werden oder dieser davon Kenntnis erlangt, liegt in der Regel eine Auftragsdatenverarbeitung vor, die den Abschluss eines AV-Vertrages erforderlich macht. Zur Auftragsdatenverarbeitung zählt deshalb auch die Beauftragung eines Freelancers, der für den Auftraggeber tätig wird und dabei mit personenbezogenen Daten „in Berührung kommt“.

 

Ein sogenannter AV-Vertrag dient unter Anderem dazu sicherzustellen, dass personenbezogene Daten von denjenigen, dem personenbezogene Daten zur Verarbeitung zur Verfügung gestellt werden, gemäß den rechtlichen Vorgaben der DS-GVO datenschutzkonform verarbeitet und vor Missbrauch, Verlust und Diebstahl geschützt werden.

 

Wenn mit einem Dritten, der Daten für das Unternehmen verarbeitet oder dem das Unternehmen Daten übermittelt, kein AV-Vertrag geschlossen wird oder werden kann, fehlt die erforderliche Rechtsgrundlage für die Weitergabe personenbezogener Daten an diesem Dritten und für die Einsicht in personenbezogene Daten durch den Dritten. Eine Zusammenarbeit mit diesem Dritten ist dann ab dem 25.5.2018 nicht in datenschutzkonformer Weise möglich und daher nicht zu empfehlen.

 

 

Können bestehende Verträge zur Auftragsdatenverarbeitung weiterhin genutzt werden?

 

Nein. Bisherige nach dem Bundesdatenschutzgesetz bereits seit 2009 erforderliche Auftragsverarbeitungsverträge beziehungsweise Aufträge zur Datenverarbeitung (ADV) sind in der Regel nicht kompatibel zur Datenschutzgrundverordnung und müssen durch einen neuen AV-Vertrag ersetzt werden.

 

 

Was sind sog. technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (TOMs)

 

Bei den sog. TOMs handelt es sich um einen individuellen Katalog aus Sicherheitsmaßnahmen und Schutzvorkehrungen, um personenbezogene Daten zu schützen und Datenschutzpannen zu vermeiden. Diese müssen sich immer nach dem Einzelfall und nach der Art der Daten, dem Risiko eines Schadens sowie nach der Eintrittswahrscheinlichkeit und möglichen Schwere eines Schadens richten. Je sensibler die Daten, desto höher sind die Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.

 

 

Welche konkreten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (TOMs) kommen in Betracht (nichtabschließende Liste von Beispielen)?

 

  • Unterweisung der Mitarbeiter
  • Verschwiegenheitserklärung der Mitarbeiter
  • Pseudonomisierung von Daten (z.B. mittels einer „id“)
  • Verschlüsselung von Daten auf lokalen Systemen
  • Verschlüsselung von Daten beim Versand
  • Zutrittskontrolle
  • Vergabe von Zugriffsrechten auf IT-Anlagen
  • Firewall
  • Virenschutz
  • Schutz gegen Datenverlust und Sicherstellung der Wiederherstellbarkeit von Daten (regelmäßige Datensicherung, ggf. unterbrechungsfreie Stromversorgung ‚USV‘)
  • regelmäßige Systemwartungen
  • regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs

 

 

Was ist bei Datenschutzpannen zu beachten?

 

Von einer Datenschutzpanne spricht man beispielsweise bei einer unrechtmäßigen Weitergabe oder  dem Verlust von Daten sowie beim Zugriff von Unberechtigten auf personenbezogene Daten.

 

Im Schadensfall muss innerhalb einer Frist von 72 Stunden ab Bekanntwerden eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Deshalb ist es wichtig, bereits im Vorfeld im Unternehmen hierfür einen entsprechenden Prozessablauf zu etablieren und diesen zu dokumentieren.

 

 

Fazit

 

Die Umstellung auf die Datenschutzgrundverordnung bzw. deren Umsetzung verursachen bei den betroffenen Unternehmen teilweise erhebliche Kosten. Diese Umsetzungskosten stellen allerdings eine Compliance-Notwendigkeit dar.

 

Für Unternehmen, die die neuen datenschutzrechtlichen Anforderungen nach der DSGVO und BDSG-Neu noch nicht umgesetzt haben, wird es nun höchste Zeit. Unternehmen, die nach dem 25.05.2018 nicht DS-GVO konform aufgestellt sind, laufen Gefahr, von Mitbewerbern aus wettbewerbsrechtlichen Gesichtspunkten auf Unterlassung in Anspruch genommen und abgemahnt werden. Zudem besteht das Risiko von der Datenschutzbehörde überprüft und ggf. mit Bußgeldern belegt zu werden. Bußgelder können bis zu einer Höhe von 20 Millionen Euro verhängt werden.

 

Für die Einhaltung der Anforderungen der DS-GVO trägt in erster Linie der Vorstand bzw. Geschäftsführer die Verantwortung.  Diesen trifft eine umfassende Haftung für Datenschutzverstöße. Die (rechtzeitige) Umsetzung der gesetzlichen Anforderungen der DS-GVO in Unternehmen ist daher dringend empfohlen.

 

Gerne stehen wir Ihnen für eine umfassende Beratung im Bereich Datenschutz und bei der Umsetzung der Vorgaben der Datenschutzgrundverordnung mit kompetentem Rat zur Verfügung. Schreiben Sie uns eine Nachricht oder rufen Sie uns an.

 

 

 

Es wird ausdrücklich darauf hingewiesen, dass es sich hier um allgemeine Antworten handelt, die nicht abschließend sind, nicht jeden Einzelfall abbilden und nicht auf jeden Fall übertragbar sind. Zudem sind die hier behandelten rechtlichen Fragen noch nicht abschließend geklärt, insbesondere liegt dazu keine höchstrichterliche Rechtsprechung vor. Zu einigen Fragen werden daher unterschiedliche Rechtsansichten vertreten. Die Fragen und Antworten können deshalb eine fachkundige Rechtsberatung im Einzelfall nicht ersetzen.

 

 

 

Allgemeine Informationen zum Datenschutzrecht finden Sie hier

Schlagwörter: Datenschutz, DS-GVO, DSGVO, Datenschutzgrundverordnung, europäische Datenschutzgrundverordnung, Verarbeitungsverzeichnis, Verzeichnis von Verarbeitungstätigkeiten, Datenschutzrechtsreform, Datenschutzrecht, TOM, TOMs, AV-Vertrag, Auftragsdatenverarbeitung, Auftragsverarbeitungsvertrag, ADV, Datenverarbeitung, Datenverarbeitung nach der DS-GVO, personenbezogene Daten, Verarbeitung personenbezogener Daten, Datenschutzgrundverordnung (DSGVO), technische und organisatorische Maßnahmen, Datenschutzhinweis, Datenschutzerklärung, Einwilligung, datenschutzrechtliche Einwilligung, Art. 6 DS-GVO, Art. 30 DS-GVO, Rechtmäßigkeit der Datenverarbeitung