Fit für den Datenschutz?

Die DSGVO tritt am 25.5.2018 in Kraft.

Haben Sie schon Ihr Verarbeitungsverzeichnis erstellt?

Wie in sämtlichen Medien seit Monaten berichtet wird und daher mittlerweile jeder weiß, tritt die Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft. Als EU-Verordnung ist sie damit in jedem EU-Mitgliedsstaat unmittelbar anwendbar.

Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Für alle Unternehmen besteht Handlungsbedarf, insbesondere bei internen Abläufen und Datensicherheitsmaßnahmen.

Welche wesentlichen Neuerungen bringt nun die DSGVO?

Es gibt keine Meldepflicht bei der Datenschutzbehörde Datenverarbeitungsregister) mehr. Stattdessen besteht nun die Verantwortung für „Verantwortliche“ und „Auftraggeber“.

Insbesondere betrifft das

  • das Führen eines Verarbeitungsverzeichnisses
  • Informationsverpflichtungen/Datenschutzerklärungen gegenüber Mitarbeitern,   Kunden und Geschäftspartnern
  • Vertragliche Absicherung gegenüber Auftragsverarbeitern
  • Risikoanalyse und Datenschutz-Folgenabschätzung
  • Verpflichtender Datenschutzbeauftragter (unter bestimmten Voraussetzungen)
  • Rechte der betroffenen Personen (Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, …)
  • Meldepflichten von Datenschutzverletzungen (Meldung binnen 72 Stunden an die nationalen Aufsichtsbehörden)
  • Erweiterung der Befugnisse und Aufgaben der Aufsichtsbehörden (insb. auch Verhängung von Geldbußen).

Was ist ein personenbezogener Datensatz? Was sind persönliche oder schützenswerte Daten?

Personenbezogen ist alles, was nur in irgendeiner Art und Weise einen Bezug zu einer natürlichen Person herstellen kann, also z.B. Name, Adresse, Telefonnummer, aber auch Fotos, Fingerabdrücke, Gesundheitsdaten, usw. 

Was muss ein Unternehmen also nun ab 25.5.2018 tun? Sind auch KMU davon betroffen?

Jedes Unternehmen muss alle Vorgaben der DSGVO beachten. Ratsam wäre es, zunächst eine Art Dateninventur durchzuführen und zu überlegen, wo man überall im Betrieb personenbezogene Daten verarbeitet und zu welchem Zweck.

Bei der Verarbeitung von Daten hat der Verantwortliche die allgemeinen Grundsätze einzuhalten. In einem zweiten Schritt hat der Verantwortliche zu prüfen, auf welcher Rechtsgrundlage er eine Datenverarbeitung rechtmäßig durchführen kann (zB Einwilligung, Auftrags/Vertragserfüllung).

Die Dokumentationspflicht umfasst v.a. die Führung eines Verarbeitungsverzeichnisses und Datenschutz durch Technikgestaltung (privacy by default, datenschutzfreundliche Voreinstellungen). Den Verantwortlichen treffen auch Informationspflichten (Stichwort Betroffenenrechte) und Meldepflichten bei Datenschutzverletzungen.

Wie muss ein Verarbeitungsverzeichnis aussehen?

Verantwortliche und Auftragsverarbeiter müssen ein "Verzeichnis von Verarbeitungstätigkeiten" führen.

Das Verarbeitungsverzeichnis muss folgende Informationen enthalten: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.

Die Interessenvertretungen (zB WKO) stellen auf ihren Websites entsprechende Muster zur Verfügung. Es ist empfehlenswert, nach einer dieser Vorlagen vorzugehen und die Inhalte das eigene Unternehmen betreffend einzusetzen. Dieses Verzeichnis ist elektronisch oder händisch zu führen und im Falle einer Überprüfung durch die Behörde vorzuweisen.  

Brauche ich sonstige schriftliche Unterlagen?

Falls personenbezogene Daten an unternehmensexterne Stellen übermittelt werden (zB an eine externe Lohnverrechnung, IT-Dienstleister) so ist ein Vertrag mit diesen sogenannten Auftragsverarbeitern abzuschließen. Ein Muster dafür ist zB auf der Website der WKO zu finden.

Darüber hinaus kann es zu Beweiszwecken hilfreich sein, wenn die Information und Einwilligungserklärung der Betroffenen schriftlich gestaltet ist.

Gilt für Unternehmen unter 250 Mitarbeiter nicht die Ausnahmeregelung von der Pflicht, ein Verarbeitungsverzeichnis anzulegen?

Die Ausnahmebestimmung wird eng auszulegen sein, dh nur wenige Fälle betreffen. Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien bzw keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.   

Der Gesetzestext spricht allgemein vom „Risiko für Rechte und Freiheiten der betroffenen Personen“, er schränkt hier nicht auf ein „hohes“ oder „besonderes“ Risiko ein. Naturgemäß birgt aber jede Verarbeitung personenbezogener Daten ein Risiko, wodurch wiederum alle Datenverarbeitungen verzeichnet werden müssten. Auch der Begriff „gelegentlich“ ist in der DSGVO und in den Erwägungsgründen nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit besteht, erfolgen. Als Beispiel wird das Anfertigen von Fotografien auf einem Firmenevent genannt.

Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt. Das Verarbeitungsverzeichnis sollte daher unbedingt bis zum 25.5.2018 erstellt werden.