DSGVO – Neue Pflichten für Unternehmen
Die DSGVO bringt neue Anforderungen an das Datenschutzmanagement für Unternehmen. Bis zum 25. Mai 2018 gilt es ein Mindestmaß an Compliance mit der DSGVO herzustellen. Im Folgenden sind einige wichtige Änderungen zusammengestellt.
kleine Checklisten für
Verantwortliche
– Grundlagen eines Compliance Programms
– Bestellung eines Datenschutzbeauftragten
– Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
– Prüfung der Rechtsgrundlage der Datenverarbeitungen
– Entwicklung von Datenschutzerklärungen
– Prüfung der Verträge mit Auftragsverarbeitern
– Prüfung der Rechtsgrundlage für internationale Datenübermittlungen
Auftragsverarbeiter
– Bestellung eines Datenschutzbeauftragten falls notwendig
– Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
– Implementierung angemessener Sicherheitsmaßnahmen
– Prüfung der Verträge mit den Verantwortlichen und Subauftragsverarbeitern
– Sicherstellen, dass internationale Datenübermittlungen unter der Voraussetzung der DSGVO erfolgen
Einige Änderungen erfordern einen erheblichen Mehraufwand in der Dokumentation im Gegensatz zu den Anforderungen des bisherigen BDSG.
Erweiterte Dokumentations- und Nachweispflichten
Die DSGVO sieht für Verantwortliche und Auftragsverarbeiter erweiterte Nachweispflichten als das BDSG vor. Artikel 5 Abs. 2 schreibt dem Verantwortlichen den Nachweis der Einhaltung des Artikel 5 Abs. 1 vor. Diese Rechenschaftspflicht („Accountability“) bedeutet, dass der Verantwortliche Compliance-Maßnahmen zu implementieren hat, um die Forderungen aus Artikel 5 erfüllen zu können. Die Nachweispflicht besteht dabei gegenüber den Aufsichtsbehörden und nicht den betroffenen Personen.
Der Verstoß gegen den Artikel 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) kann mit einem Bußgeld von bis zu vier Prozent des Umsatzes geahndet werden.
Ebenfalls geht aus dem Artikel 24 die Pflicht zur Dokumentation zur Erfüllung der Nachweispflicht hervor, dabei ist ein Auftragnehmer verpflichtet, dem Verantwortlichen die notwendigen Informationen dazu zur Verfügung zu stellen.
In der Praxis wird es bei Streitfällen hilfreich sein, die entsprechende Dokumentation vorliegen zu haben um Schadensersatzforderungen oder Bußgelder abwehren zu können
Risikobasierter Datenschutz
Entsprechend dem Verhältnismäßigkeitsgrundsatz ist ein risikobasierter Ansatz beim Datenschutz zweckmäßig. Ein risikobasiertes Vorgehen ist bereits bei Compliance Management Systemen üblich und bietet sich auch im Datenschutz an. Das Etablieren eines Datenschutzmanagement-Systems ist in der Praxis ein effizientes Hilfsmittel zur Organisation und langfristigen Pflege.
Eine Einschätzung, wie groß das Risiko einer Datenverarbeitung ist, ist im Übrigen wichtig bei der Entscheidung ob eine Datenschutz-Folgeabschätzung vorgeschrieben ist.
Informationspflichten des Verantwortlichen bei Datenerhebung
Mit dem Inkrafttreten der DSGVO müssen Unternehmen betroffene Personen deutlich umfassender darüber informieren, wie sie deren Daten verarbeiten. Der Transparenzgrundsatz aus Artikel 5 und die Konkretisierung in Artikel 12 und 13 machen in der Regel eine Überarbeitung der bisher verwendeten Erklärungen erforderlich.
Auch die Verpflichtung, zeitnah eine Kopie der gespeicherten Daten an betroffene Personen aushändigen zu können, dürfte in vielen IT-Systemen nicht einfach umzusetzen sein. Folgende Inhalte müssen die Informationen enthalten, wenn sie dem Betroffenen nicht schon mitgeteilt wurden:
– Name und Kontaktdaten
– gegebenenfalls Name und Kontaktdaten des Datenschutzbeauftragten
– Zweck und Rechtsgrundlage der Verarbeitung
– Berechtigte Interessen
– Empfänger der erhobenen Daten
– gegebenenfalls Übermittlung in Drittländer
– Dauer der Speicherung der Daten
– Hintergründe der Bereitstellung
– gegebenenfalls das Recht des Widerrufs der erteilten Einwilligung
– das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
– Automatisierte Entscheidungsfindung
– Betroffenenrechte
– Zweckänderung
Der Inhalt der Informationspflichten nach Artikel 14, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
– Name und Kontaktdaten
– Name und Kontaktdaten des Datenschutzbeauftragten
– Zweck und Rechtsgrundlage der Verarbeitung
– die Kategorien der verarbeiteten personenbezogenen Daten
– gegebenenfalls die Empfänger der erhobenen Daten
– gegebenenfalls Übermittlung in Drittländer und der Verweis auf die Möglichkeit eine Kopie der – Daten zu erhalten
– Dauer der Speicherung der Daten
– Berechtigte Interessen
– Recht auf Auskunft, Berichtigung oder Löschung sowie Übertragbarkeit
– gegebenenfalls das Recht des Widerrufs der erteilten Einwilligung
– das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
– Angabe der Quelle, aus der die personenbezogenen Daten stammen
– Automatisierte Entscheidungsfindung
– Zweckänderung
Der Zeitraum, in dem die betroffene Person informiert werden muss, beträgt in der Regel einen Monat.
Folgenabschätzung
Birgt eine Verarbeitung personenbezogener Daten ein hohes Risiko, so ist der Verantwortliche verpflichtet, nach Artikel 35 eine Datenschutz-Folgenabschätzung durchzuführen. Die Datenschutz-Folgenabschätzung ist „vorab“ durchzuführen.
Die Folgenabschätzung enthält
– systematische Beschreibung der Verarbeitung
– Zweck der Verarbeitung
– Berechtigte Interessen
– Bewertung der Notwendigkeit und Verhältnismäßigkeit
– Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
– Die zur Bewältigung der Risiken getroffenen Maßnahmen
Die Einhaltung der Regeln und Maßnahmen ist in der Folgenabschätzung zu berücksichtigen. Eine fehlende oder nicht korrekte Datenschutz-Folgenabschätzung kann mit einem hohen Bußgeld geahndet werden.
Indizien für eine erforderliche Datenschutz-Folgenabschätzung sind beispielsweise
– Neue Technologien
– Neue Verarbeitungsvorgänge
– Verarbeitung großer Datenmengen
– Große Anzahl betroffener Personen
– Verarbeitung besonderer Kategorien personenbezogener Daten
– Profiling
– Erschwerte Rechtsausübung
– Große systematische Verarbeitungen
– Öffentliche Überwachung
Vorab ist eine qualitative Risikoabschätzung erforderlich, um einschätzen zu können, ob eine Folgenabschätzung erforderlich ist. An dieser Stelle kommt einem der oben genannte Risikoansatz zugute.
Stellt sich heraus, dass bei der Verarbeitung personenbezogener Daten eine hohes Risiko besteht und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, besteht die Verpflichtung die Aufsichtsbehörde vor dem Beginn der Verarbeitung zu informieren.
Löschfristen
Betroffene Personen können die unverzügliche Löschung der personenbezogenen Daten verlangen, wenn z.B.
– der Zweck der Datenerhebung nicht mehr besteht
– die Einwilligung zurückgezogen wird
– bei Widerspruch und fehlenden vorrangigen Gründen
– unrechtmäßigen Verarbeitung
– die Löschung auf einer Verpflichtung besteht
Zu beachten ist, dass personenbezogene Daten, die veröffentlicht wurden auch von anderen Verantwortlichen genutzt werden können. Diese Dritten sind darüber zu informieren, dass die betroffene Person die Löschung verlangt hat und die daraus resultierenden Informationen und Verweise zu löschen sind.
Der Vorgang des Löschens ist ausführlich zu dokumentieren, damit ein Nachweis erbracht werden kann, dass die Verordnung eingehalten wird.
Verzeichnis von Verarbeitungstätigkeiten
Der Verantwortliche ist nach Artikel 30 DSGVO verpflichtet, ein umfassendes Verzeichnis aller Verarbeitungen personenbezogener Daten anzufertigen.
Das Verzeichnis enthält sämtliche folgenden Angaben
– Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
– Zweck der Verarbeitung
– Kategorien betroffener Personen
– Kategorien personenbezogener Daten
– Kategorien von Empfängern
– Übermittlung in Drittländer
– Löschfristen
– allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien die folgendes enthält
– Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
– Kategorien personenbezogener Daten
– Übermittlung in Drittländer
– allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Die Verzeichnisse sind schriftlich zu führen, was auch in einem elektronischem Format erfolgen kann.