24. Mai 2018Datenschutz

DSGVO Last Minute: Das müssen Sie wissen

Lange Zeit wurde die DSGVO von vielen Unternehmen stiefmütterlich behandelt, aber trohnte dennoch wie ein Damoklesschwert über den Köpfen vieler Unternehmen. Seit dem Inkrafttreten der DSGVO vor zwei Jahren schien noch viel Zeit zu sein bis zur wirklichen Anwendung der DSGVO. Erst waren es noch zwei Jahre, dann noch ein Jahr, dann schon nur noch 10 Monate, dann sechs Monate bis zur Geltung der DSGVO. Diese Zeit ist nun zu Ende. Die DSGVO gilt ab dem 25. Mai 2018 und mit ihr die hohen Bußgelder. Auch wenn sich die DSGVO nicht gänzlich von der bisherigen datenschutzrechtlichen Lage in Deutschland unterscheidet, gehen mit ihr dennoch Veränderungen einher. Dies gilt vor allem für die Bereiche der Betroffenenrechte, des Verzeichnisses der Verarbeitungstätigen, der Grundsätze von Privacy by Design und Privacy by Default, des Mitarbeiterdatenschutzes, der Auftragsdatenverarbeitung und der Meldepflichten. Als übergeordnetes Thema lässt sich für die DSGVO der Transparenzgrundsatz erkennen. Alle wichtigen Bereiche, die durch die DSGVO reformiert werden, lassen spezielle Ausprägungen des Transparenzgebotes erkennen.

Betroffenenrechte – Transparente Information des Betroffenen

Die Betroffenenrechte der DSGVO enthalten keine vollständig neuen Regeln. So sind das Recht auf Vergessenwerden, das Widerspruchsrecht und das Recht auf Berichtigung dem BDSG ebenfalls bekannt. Wichtig ist, dass die DSGVO von Unternehmen technische Konzepte verlangt, die es ermöglichen, den Anträgen auf Berichtigung und Löschung (Vergessenwerden) sofort nachzukommen. Neu sind zudem die Transparenz- und Informationsvorschriften.

Vor allem die Informationspflichten gegenüber der betroffenen Person sind im Vergleich zum BDSG deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (und gegebenenfalls sein Überwiegen gegenüber den Interessen des Betroffenen) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte mitgeteilt werden müssen. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Die Dokumentation der Umsetzung dieser Vorgaben, z.B in einer Datenschutzerklärung, ist dabei empfehlenswert. Verstöße gegen die Abwägungs- und Dokumentationspflichten sind nach der DSGVO mit hohen Bußgeldern bewehrt.

Eine wesentliche Neuerung stellt das Recht des Betroffenen auf Datenübertragbarkeit gemäß Art. 20 DSGVO dar. Dieses Recht wurde insbesondere im Hinblick auf die Nutzung sozialer Netzwerke geschaffen. Möchte ein Betroffener den Anbieter wechseln, so soll der Betroffene vom Erst-Anbieter seine Daten in einem gängigen, maschinenlesbaren und elektronischen Format erhalten, um sie auf den Zweitanbieter zu übertragen. Zudem hat der Betroffene das Recht, diese Übertragung vom Erst- auf den Zweitanbieter automatisch erfolgen zu lassen.  Durch das Recht auf Datenübertragbarkeit sollen Anbieterwechsel erleichtert, Monopolbildungen verhindert und der Wettbewerb verstärkt werden. Trotz seiner ursprünglichen Konzeption ist das Recht auf Datenübertragbarkeit nicht nur auf die Anbieter sozialer Medien beschränkt, sondern greift auch in anderen Bereichen.

Mitarbeiterdatenschutz – Transparenz nach innen

Vor allem HR-Mitarbeiter kommen durch die Verwertung von Bewerbungen und die Verwaltung von Arbeitsverträgen u.Ä. immer wieder in Kontakt mit personenbezogenen Daten. Die Schulung von HR-Mitarbeitern nach den Vorgaben der DSGVO ist daher essentiell. Datenpannen im Zusammenhang mit Mitarbeiter- oder Bewerberdaten können nicht nur die hohen Bußgelder der DSGVO, sondern auch erhebliche Reputationsschäden herbeiführen. Insbesondere HR-Manager müssen über den Umgang mit Löschpflichten (etwa nach Beendigung des Arbeitsverhältnisses, Ablehnung eines Bewerbers oder Ausübung von Betroffenenrechten) und im Umgang mit den o.g. Betroffenenrechten geschult werden. Zudem müssen HR-Mitarbeiter auch im Umgang mit besonders sensiblen personenbezogenen Daten gemäß Artikel 9 DSGVO, wie z.B. Gesundheitsdaten geschult werden. Da HR-Mitarbeiter oftmals die Aufgabe der Zusammenarbeit mit Datenschutzbeauftragten und Aufsichtsbehörden übernehmen, sollten sie auch insoweit informiert sein. Im Zusammenhang mit dem Beschäftigtendatenschutz ist zudem § 26 BDSG neu zu beachten, der eine Verarbeitung von Mitarbeiterdaten vor allem dann erlaubt, wenn sie der Begründung, Beendigung oder Durchführung eines Arbeitsverhältnisses dienen. Wird eine Einwilligung von Mitarbeitern in die Datenverarbeitung eingeholt, so muss dieses trotz des Abhängigkeitsverhältnisses von Arbeitnehmern, freiwillig erfolgen.
(Schulungs-Tipp: Datenschutz im Personalwesen E-Learning)

Auftragsverarbeiter – Transparente Aufgabenverteilung

Bedient sich ein Unternehmen Auftragsverarbeitern, so sind auch hierbei die Transparenz- und Informationsvorschriften der DSGVO zu berücksichtigen. Betroffenen muss mitgeteilt werden, wer die Auftragsverarbeiter sind und eine etwaige Einwilligung von Betroffenen in die Datenverarbeitung muss auf der Grundlage dieser Information ergehen. Die Information der Betroffenen sowie die Prozesse der Auftragsverarbeitung insgesamt sind genau zu dokumentieren. Insbesondere für Haftungsfragen ist es wichtig, welche Grenzen dem Auftragsverarbeiter gesetzt und welche Weisungen erteilt wurden. Bei der Einbindung von Auftragsverarbeitern ist neben den Dokumentationspflichten zudem auf genaue Haftungsregelungen- und Vereinbarungen zu achten, die Risikosphären abgrenzen und mögliche Regress-Möglichkeiten beinhalten. Dadurch kann das wirtschaftliche Risiko von Verstößen gegen die DSGVO durch Auftragsverarbeiter minimiert werden, da im Außenverhältnis grundsätzlich das Unternehmen haftet, das sich Auftragsverarbeitern bedient. Es wäre jedoch unbillig, wenn das Unternehmen allein die Kosten für Verstöße tragen müsste. Daher sollten Unternehmen darauf achten im Innenverhältnis gegen Auftragsdatenverarbeiter vorgehen zu können. Auch hierfür ist eine genaue Dokumentation der Weisungen erforderlich.

Datenpannen und Meldepflichten – Transparenz auch im Notfall

Bezüglich Datenpannen sind die unternehmensinternen Prozesse darauf zu überprüfen, ob Notfallsysteme existieren, die Mitarbeitern etwa darüber Auskunft geben wie Cyber-Angriffe technisch abzuwehren sind, wie die Meldepflichten gemäß Art. 33 und 34 DSGVO gegenüber Betroffenen und Aufsichtsbehörden umzusetzen sind, wenn es zu einem Datenverlust o.ä. kommt und welche Mitarbeiter des Unternehmens als Ansprechpartner dienen. Nach einer aktuellen Studie des Unternehmensverbands BitKom sind nur 4 von 10 Unternehmen mit einem Notfallsystem auf Cyber-Angriffe vorbereitet. Auch bezüglich Meldepflichten ist der Grundgedanke der DSGVO zur transparenter Information von Betroffenen und Aufsichtsbehörden mithin deutlich erkennbar.

Verzeichnis der Verarbeitungstätigkeiten – Transparente Dokumentation

Das Transparenzgebot dient unter anderem dem Zweck, den für die Datenverarbeitung Verantwortlichen im Falle von unrechtmäßigen Datenverarbeitungen oder sonstigen Verletzungen des Datenschutzes zur Rechenschaft ziehen zu können. Die DSGVO sieht für Unternehmen dementsprechend eine Rechenschaftspflicht vor. Einen Spezialfall zur Umsetzung der sog. Rechenschaftspflicht gemäß Art. 5 Abs.2 DSGVO stellt Art. 30 DSGVO bzw. die Anforderung zur Erstellung von Verzeichnissen der Verarbeitungstätigkeiten (VVT) dar. Artikel 30 Abs.1 DSGVO enthält eine Übersicht über den Mindestinhalt eines solchen Verzeichnisses. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Weiterhin müssen Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten, sowie zu Empfängern und möglichen Übermittlungen an Drittländer gemacht werden. Erstmals wird im Europäischen Datenschutzrecht in Artikel 30 Abs. 2 DSGVO eine entsprechende Pflicht auch für Auftragsdatenverarbeiter vorgeschrieben. Das VVT kann außerdem dazu dienen den neuen Beweislastregeln der DSGVO nachzukommen und die Einhaltung der DSGVO zu dokumentieren. Zudem sollten Löschfristen in dem VVT niedergelegt werden. Zwar enthält die DSGVO keine festen Löschfristen, jedoch gilt zum einen der Zweckbindungsgrundsatz, wonach Daten nur so lange verarbeitet werden dürfen, wie auch ein Zweck für die Verarbeitung besteht, zum anderen verlangt die Ausübung des Rechts auf Löschung eine „sofortige“ Löschung der Betroffenendaten. Die Einhaltung dieser Vorgaben kann durch die Niederlegung der Löschfristen im VVT dokumentiert werden.

Die DSGVO und die ePrivacy-Verordnung – Transparenz der zwei Geschwindigkeiten

Zeitgleich mit der DSGVO sollte die ePrivacy-Verordnung gelten und den Datenschutz für Fälle elektronischer Kommunikation regeln. Allerdings ist der Gesetzgebungsprozess ins Stocken geraten, sodass frühestens im Jahr 2019 mit einer Geltung der ePrivacy-Verordnung zu rechnen ist. Eine der wichtigsten Neuerungen innerhalb der ePrivacy-Verordnung ist die Regelung der Cookie-Nutzung durch ein verschärftes Koppelungsverbot. Demnach darf eine Website-Nutzung (etwa eines Nachrichtenportals) nicht mehr von der Einwilligung in Werbung mittels Cookies abhängig gemacht werden. Dadurch kann Werbetreibenden in Zukunft eine wesentliche Einnahmequelle entfallen. Website-Betreiber könnten gezwungen werden eine kostenfreie und durch Werbung finanzierte Version und eine kostenpflichtige Version ohne Werbung anzubieten, um das Koppelungsverbot zu umgehen. Der neueste Entwurf zur ePrivacy-Verordnung vom Rat der Europäischen Union vom 13.04.2018 scheint zumindest Auflockerungen bezüglich der Reichweiten- und Nutzerzahlmessung zuzulassen und damit die Interessen von Werbetreibenden besser zu berücksichtigen. Zudem enthält die ePrivacy-Verordnung Vorgaben über Cookie-Einstellungen in Browsern und leitet damit die Ablösung der Cookie-Banner ein.

Privacy by Design/Default – Transparenz durch Technik

Die DSGVO verlangt datenschutz- und privatsphärefreundliche technische Voreinstellungen. Der User soll bei der Nutzung von Websites und Browsern von vornherein auf Einstellungen zurückgreifen können, die sein Recht auf informationelle Selbstbestimmung im größtmöglichem Umfang schützen, ohne dass er entsprechende Häkchen, z.B. zum Ausschluss des Web-Trackings, selbst setzen muss. Dem Nutzer muss durch die Voreinstellungen auch deutlich werden, dass eine Veränderung der Einstellungen Auswirkungen auf den Datenschutz hat.

Fazit und Handlungsempfehlung

Die DSGVO steht vor der Haustür und wird nicht warten, ob sie hereingebeten wird. Unternehmen sollten ihre Prozesse nochmals darauf überprüfen ob sie den Vorgaben der DSGVO gerecht werden um die hohen Bußgelder in Höhe von 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro zu vermeiden.

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.