Auftragsverarbeitung

Auftragsverarbeitung nach DS-GVO

 

Die Auftragsverarbeitung nach der DS-GVO ist im Datenschutz keine neue Erfindung. Die bisherige Vorschrift gem. § 11 BDSG ist ihnen sicherlich unter der Bezeichnung Auftragsdatenverwaltung bekannt. Die neue Bezeichnung lautet nun Auftragsverarbeitung und ist in Art. 28 DS-GVO  geregelt. Es hat sich jedoch nicht nur der Name verändert. Es gibt einige neue Regelungen in der DS-GVO zu beachten.

 

Auftragsverarbeitung-Göttingen

 

Was ist eine Auftragsverarbeitung ?

 

Es handelt sich um eine Auftragsverarbeitung, wenn personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet werden. Hierbei ist zu beachten, dass die Verantwortung für die Rechtmäßigkeit der Verarbeitung weiterhin beim Verantwortlichen (also Auftraggeber) bleibt.

Eine Auftragsverarbeitung findet man nahezu in jedem Unternehmen. Aber in vielen Fällen ist der Unternehmensleitung gar nicht bekannt, dass es sich um eine solche handelt und das hier spezielle Datenschutzvorschriften zu beachten sind. In diesem Fall ist ein Vertrag gem. Art. 28 Abs. 3 DS-GVO zu schließen, welcher die Rechte und Pflichten der Auftragsverarbeitung regelt. Auch bei der Auswahl des Auftragverarbeiters trifft den Verantwortlichen die Pflicht, nur Auftragsverarbeiter auszuwählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Vorschriften der DS-GVO eingehalten werden (vgl. Art. 28 Abs. 1 DS-GVO).

Der Auftragsverarbeiter verarbeitet die übergebenen Daten nur auf Anweisung des Auftraggebers (vgl. Art. 29 DS-GVO). Bei einer Verarbeitung, welche gegen die Weisungen des Verantwortlichen verstößt, haftet der Auftragsverarbeiter (vgl. Art. 28 Abs. 10 DS-GVO).

Die Einbindung eines weiteren Auftragsverarbeiters ist nur mit Genehmigung des Verantwortlichen zulässig. In diesem Fall gelten die gleichen datenschutzrechtlichen Pflichten wie zwischen dem Verantwortlichen und dem ersten Auftragsverarbeiter.

Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (vgl. Art. 28 Abs. 4 Satz 2 DS-GVO).

Mit Inkrafttreten der DS-GVO ist auch der Auftragsverarbeiter verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen (vgl. Art. 30 DS-GVO).

 

Folgen fehlerhafter Auftragsverarbeitung

 

Mit Inkrafttreten der DS-GVO könnten diejenigen Unternehmen erhebliche Probleme bekommen, welche sich bisher nicht intensiv mit der Auftragsverarbeitung beschäftigt haben. Ein Verstoß gegen die Vorschriften des Art. 28 DS-GVO können von den Aufsichtsbehörden mit Geldbußen von bis zu 10.000.000 Euro geahndet werden (Art. 83 Abs. 4 DS-GVO). Weiterhin wäre es möglich, dass die Betroffenen, deren Daten in diesem Fall ohne Rechtsgrundlage an Dritte weitergeleitet wurden, einen Anspruch auf Schadenersatz gem. Art. 82 DS-GVO haben könnten.

Somit sollte man als Unternehmen alle Verarbeitungen dahingehend überprüfen, inwieweit es sich hier um eine Auftragsverarbeitung handeln könnte. In größeren Unternehmen macht es durchaus Sinn, hierfür eine Projektgruppe einzurichten, da viele Auftragsverarbeitungen nicht sofort offensichtlich sind.

Beispiele für Auftragsverarbeitungen, welche oft vorhanden sind:

  • Externe Lohn- und Gehaltsabrechnung
  • Fernwartung der IT (mit Zugriff auf personenbezogene Daten)
  • Externe Verarbeitung von Kundendaten (Callcenter, Marketing…)

Oft ist es schwierig hier eine genaue Abgrenzung zu finden, ob es sich um eine Auftragsverarbeitung handelt oder nicht. Eine Auftragsverarbeitung liegt immer dann vor, wenn die fragliche Tätigkeit im Schwerpunkt eine Verarbeitung von Daten darstellt. Hierzu hat auch das Bayerische Landesamt für Datenschutzaufsicht eine sehr gelungene Übersicht erstellt.

 

Auftragsverarbeitung-Datenschutz-Göttingen2

 

Zu den Auftragsverarbeitungen gehören auch Verarbeitungen, an welche man nicht sofort in diesem Zusammenhang denken würde. Versenden sie beispielsweise regelmäßig Newsletter ihres Unternehmens? Dann besteht die Möglichkeit, dass sie einen Maildienst verwenden. Hier werden Kundendaten an einen externen Anbieter übermittelt, d.h. es besteht eine Auftragsverarbeitung. Wenn sich dieser Anbieter auch noch außerhalb der EU befindet (z.B. USA), dann besteht ein weiteres Problem, da es sich um eine Datenübermittlung außerhalb der EU handelt. In diesem Fall sind die Vorschriften der Art. 44 ff DS-GVO zu beachten. Dies wird jedoch noch in einem gesonderten Beitrag behandelt werden.

 

Verträge zur Auftragsverarbeitung

 

Es ist ein wenig Aufwand notwendig, um die neuen Datenschutzvorschriften umzusetzen. Man muss jedoch auch in diesem Bereich des Datenschutzes das Rad nicht neu erfinden. Man findet Musterverträge im Internet, so z.B. auf den Webseiten der Aufsichtsbehörden. Selbstverständlich müssen diese an die individuellen Gegebenheiten des jeweiligen Unternehmens angepasst werden. In größeren Unternehmen kann dies einen erheblichen Aufwand verursachen.

Sollte ein Auftragnehmer sich weigern einen derartigen Vertrag abzuschließen, ist eine rechtmäßige Verarbeitung der personenbezogenen Daten gem. DS-GVO nicht mehr gegeben. In diesem Fall sollte man sich nach einem neuen Auftragsverarbeiter umsehen, da es sicherlich einen Grund dafür gibt, wenn sich ein Anbieter weigert, einen Vertrag über eine datenschutzgerechte Verarbeitung abzuschließen.

 

Fazit

 

Die Auftragsverarbeitung gehört sicherlich nicht zu den kompliziertesten Bereichen der DS-GVO, aber es handelt sich definitiv um einen sehr wichtigen Teilbereich des Datenschutzes. Zum einen drohen erhebliche Bußgelder bei einem Verstoß und zum anderen würde der Ruf des Unternehmens einen enormen Schaden erleiden, wenn Datenschutzpannen infolge eines leichtfertigen Verstoßes gegen Datenschutzgesetze erfolgen.

 

Datenschutzbeauftragter für Startups

Datenschutz und Startups

 

Unternehmensgründer von Startups stecken viel Energie in den Aufbau ihres Unternehmens. Neue Geschäftsideen müssen umgesetzt werden, das benötigte Personal muss rekrutiert werden, der Markt muss beobachtet werden und überhaupt dreht sich den ganzen Tag alles um das neue Unternehmen.

Viele „lästige“ Routineaufgaben wie Buchhaltung, Lohnabrechnung usw. treten vorerst in den Hintergrund. Und dann gibt es das ja auch noch die Datenschutz-Grundverordnung (DS-GVO) seit dem 25.05.2018. An diesem Punkt kann es jedoch kritisch werden für das junge Unternehmen. Die Datenschutz-Vorschriften gelten auch für Startups und sollten unbedingt beachtet werden, da die Bußgelder gem. Art. 83 DS-GVO das Unternehmen ganz schnell in die Knie zwingen können.

 

Datenschutz-für-Startups

Datenschutzbeauftragter für Startups?

 

Zuerst einmal sollte überprüft werden inwieweit man als Unternehmen der Pflicht zur Benennung eines Datenschutzbeauftragten unterliegt. Hier wird man in vielen Fällen zu dem Ergebnis kommen, dass ein Datenschutzbeauftragter (DSB) benannt werden muss. Wie geht es jetzt weiter? Ein Datenschutzbeauftragter kann intern oder extern benannt werden.

Doch hier haben viele Startups das Problem, dass aufgrund der geringen eigenen Personalstärke keine geeignete Person zur Verfügung steht, welche die geforderten Voraussetzungen gem. Art. 37 DS-GVO mitbringt. Weiterhin muss beachtet werden , dass bestimmte Personen aufgrund ihrer Tätigkeit im Unternehmen nicht als Datenschutzbeauftragter in Frage kommen, da ein Interessenkonflikt gem. Art. 38 Abs. 6 DS-GVO ausgeschlossen sein muss. Dies bedeutet, dass der DSB niemals in die Lage kommen darf sich selbst zu kontrollieren. Daher können beispielsweise Mitglieder der Unternehmensleitung, Leiter der Personalverwaltung oder IT-Leiter nicht als Datenschutzbeauftragte benannt werden.

Für den Fall, dass man einen eigenen Mitarbeiter zum Datenschutzbeauftragten benennt, sollte der Zeitaufwand für diese Tätigkeit nicht unterschätzt werden. Je nach größe des Unternehmens und der Art der verarbeiteten Daten sind hier sicherlicherlich 20% – 50% der regelmäßigen Arbeitszeit eines Vollbeschäftigten Mitarbeiters anzusetzen.

Datenschutzbeauftragter – intern oder extern?

Der Datenschutzbeauftragte – intern oder extern?

Jedes Unternehmen, welches einen Datenschutzbeauftragten (DSB) zu benennen hat (vgl. Art. 37 DS-GVO, § 38 BDSG-neu), steht vor der Frage ob ein interner- oder externer Datenschutzbeauftragter benannt werden soll. In Art. 37 Abs. 6 DS-GVO ist geregelt, dass das Unternehmen die freie Wahl hat, ob es einen internen- oder externen Datenschutzbeauftragten benennt.

Um es gleich vorwegzunehmen: Beide Varianten haben ihre Vor- und Nachteile.

Der interne Datenschutzbeauftragte

Noch immer entscheiden sich viele Unternehmen für einen internen Datenschutzbeauftragten. Von der Unternehmensleitung wird einer bestimmten Person aus dem Kreis der Beschäftigten die Aufgabe des Datenschutzbeauftragten übertragen. Viele gehen hier von der Überlegung aus, dass bei dieser Variante keine Zusatzkosten entstehen und den Anforderungen des Gesetzes genüge getan wurde.

Hier sollten aber folgende Punkte bedacht werden:

Gemäß Art. 37 Abs. 5 DS-GVO wird der Datenschutzbeauftragte aufgrund seines Fachwissens und seiner beruflichen Qualifikation benannt. Dies setzt voraus, dass derjenige dieses Fachwissen schon besitzt. (vgl. DS-GVO Kommentar Ehmann/Selmayr zu Art.37, Rn.38). Doch auch in diesem Fall muss berücksichtigt werden, dass auch hier weitere Kosten zu kalkulieren sind.
Die umfangreichen Regelungen der DS-GVO können nicht „nebenbei“ erledigt werden. Dem Datenschutzbeauftragten sind gem. Art. 39 DS-GVO bestimmte Aufgaben zugewiesen worden. Hierfür wird ein bestimmtes Zeitkontingent erforderlich sein. Während dieser Zeit muss der DSB von seinen sonstigen Aufgaben freigestellt werden.

Externer Datenschutzbeauftragter Südniedersachsen

Für den Fall, dass der DSB seine ursprüngliche Tätigkeit weiterhin ausübt (was meistens der Fall sein dürfte), muss noch gem. Art. 38 Abs. 6 DS-GVO beachtet werden, dass hier kein Interessenkonflikt entsteht. Vereinfacht ausgedrückt: Der DSB darf nicht in die Situation kommen, dass er sich selbst kontrolliert. Somit scheiden als DSB regelmäßig aus:

  • Mitglieder der Geschäftsführung
  • IT-Leiter
  • Leiter Personalabteilung

Ansonsten sollte man bei der DSB Auswahl stets einen Interessenkonflikt im Einzelfall prüfen. Für viele kleine Unternehmen ergibt sich bereits hier nicht mehr viel Spielraum für einen internen DSB und es muss ein externer DSB benannt werden.

Der erforderliche Zeitanteil für einen internen DSB wird sicherlich in Abhängigkeit der vom Unternehmen verarbeiteten Daten einer großen Bandbreite unterliegen. Aber auch für den Fall, dass keine umfang- und risikoreichen Daten verarbeitet werden, sollte man sicherlich einen Zeitanteil von 25% der Arbeitszeit eines Vollbeschäftigten hierfür kalkulieren. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO) ist hier jedoch ein wesentlich höherer Anteil anzusetzen.

Weiterhin sind noch Kosten für die regelmäßige Weiterbildung (Erhaltung des Fachwissens gem. Art. 38 Abs. 2 DS-GVO) zu berücksichtigen.

Die Konsequenzen bei Nichtbeachtung der oben genannten Punkte sind für jedermann in Art. 83 Abs.4 DS-GVO nachzulesen.

Wenn man davon ausgeht, dass aufgrund der hohen Qualifikationsanforderungen, welche die DS-GVO an den DSB stellt, der entsprechende Mitarbeiter bereits eine angemessene Vergütung bezieht, kann man leicht eine Beispielrechnung aufstellen und die ungefähren Kosten pro Jahr ermitteln:

  • Kosten Mitarbeiter pro Jahr (incl. AG-Anteile zur SV) 45.000 Euro
  • Davon 25% – > 11.250 Euro
  • Jährliche Fortbildungskosten 2.500 Euro
  • Fachliteratur / sonstige Ressourcen (PC, Einzelbüro…) 750 Euro/Jahr

Somit würden sich in diesem Fall jährliche Kosten in Höhe von 14.500 Euro ergeben.

Kündigungsschutz des internen Datenschutzbeauftragten

Auch wenn es bislang in vielen Veröffentlichungen sehr umstritten ist, soll ein Punkt nicht unerwähnt bleiben. Der interne Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz gem. § 38 Abs. 2 BDSG-neu i.V.m. § 6 Abs. 4 BDSG-neu.

Der Kündigungsschutz des internen DSB ist vergleichbar mit dem Kündigungsschutz eines Mitglieds des Betriebsrates.

Die Regelung ist bislang jedoch sehr umstritten in vielen Veröffentlichungen, da hier die Regelung des alten BDSG (gültig bis 24.05.2018) in das neue BDSG übernommen wurde.

Die DS-GVO sieht jedoch keinen derartigen Kündigungsschutz vor und daher wird von vielen Autoren angezweifelt, dass der deutsche Gesetzgeber hierzu berechtigt war.

Dies wird jedoch sicherlich in Zukunft von der Rechtsprechung geklärt werden.

Vorteile des internen Datenschutzbeauftragten

Auch wenn bislang viele kritische Punkte für einen internen DSB aufgeführt wurden, sollen auch die Vorteile nicht verschwiegen werden.

Zum einen muss hier genannt werden, dass ein interner DSB sich bereits mit den Abläufen und Gegebenheiten des Unternehmens auskennt. Er weiß wo die Datenschutz-kritischen Verarbeitungen stattfinden und wer die entsprechenden Ansprechpartner sind. Hierdurch werden oft Zusammenhänge der Verarbeitungen besser erkannt und können schneller und ohne viele Anfragen an die jeweiligen Abteilungen in das Datenschutz Konzept eingebunden werden.
Externer Datenschutzbeauftragter Göttingen Südniedersachsen

Der externe Datenschutzbeauftragte

Bei der Benennung eines externen DSB sind zum einen einige Kriterien von vornherein kein Problem für das Unternehmen:

  • Der externe DSB ist selbst für die Erhaltung seines Fachwissens verantwortlich
  • Es gibt keinen Interessenkonflikt bei der Benennung
  • Die Mitarbeiter des Unternehmens werden nicht von ihren Aufgaben abgezogen
  • Der besondere Kündigungsschutz eines internen DSB besteht nicht

Kosten eines externen Datenschutzbeauftragten

Auch der Kostenfaktor spricht in vielen Fällen für den externen DSB. Viele externe Datenschutzbeauftragte sind inzwischen dazu übergegangen, ihre Dienstleistung als Paket in Monatspauschalen anzubieten. Hierdurch entsteht eine hohe Kostentransparenz und die Kosten für den externen DSB sind im Voraus leicht zu kalkulieren.

Hierdurch entfällt auch ein anderer Nachteil, welcher durch einen externen DSB ggf. entstehen könnte. Bei der Vereinbarung von Monatspauschalen ist der Einarbeitungsaufwand in die Gegebenheiten des Unternehmens nicht mehr das Risiko des Auftraggebers, da kein erhöhter Stundenaufwand mit erhöhten Kosten entsteht.

Weiterhin kann man oft feststellen, dass ein externer DSB eine bessere Akzeptanz bei den Mitarbeitern genießt.

 

Erfahrung des externen Datenschutzbeauftragten

Ein vielfach unterschätzter Vorteil des externen DSB besteht darin, dass er aufgrund seiner Tätigkeit in verschiedenen Unternehmen ein breites Fachwissen vorweisen kann. Viele Fachkenntnisse, welche sich ein interner DSB erst durch Fachliteratur und Fortbildungen aneignen muss, sind beim externen DSB schon vorhanden, da er die gleichen oder ähnlichen Problemstellungen schon in einem anderen Unternehmen erlebt hat.

Durch ihre Tätigkeit haben externe Datenschutzbeauftragte auch viel Kontakt zu Mitarbeitern der Aufsichtsbehörden. Dies kann häufig dazu führen, dass der externe DSB bereits informiert ist, wie Aufsichtsbehörden bestimmte Problemstellungen beurteilen und somit können Probleme von vornherein umgangen werden.

 

Fazit

Obwohl es durchaus Sinn machen kann einen internen Datenschutzbeauftragten zu benennen, überwiegen meiner Meinung nach die Vorteile für einen externen Datenschutzbeauftragten. Das Unternehmen hat hier einen fachkundigen DSB und die Kosten sind im Voraus bereits planbar.

Der Leser wird sich jetzt sicherlich denken, dass der Autor dieser Zeilen ja tatsächlich nichts anderes schreiben kann, da er selbst diese Dienstleistung anbietet. Aber die genannten Kriterien überzeugen inzwischen viele Unternehmen und ich nehme gern Hinweise zu von mir übersehenen Punkten an, welche auch die Vorteile des internen DSB betonen.

Datenschutzbeauftragter

Datenschutzbeaiftragter-Göttingen

 

Datenschutzbeauftragte nach DSGVO

 

Ab dem 25.05.2018 änderte sich die „Datenschutzwelt“ ganz erheblich. Von da ab gilt die europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO muss nicht erst vom deutschen Parlament in nationales Recht umgesetzt werden (wie EU-Richtlinien), sondern sie gilt automatisch als oberste Norm im Datenschutzrecht. Lediglich die in der DSGVO vorgesehenen Öffnungsklauseln können von den jeweiligen Mitgliedsstaaten ausgefüllt werden. Dies ist in Deutschland mit dem BDSG geschehen.

Aber auch in der Zeit nach dem Inkrafttreten der DSGVO und des BDSG wird sich in Deutschland nicht viel an den Voraussetzungen bei der Benennung (vorher Bestellung) eines Datenschutzbeauftragten ändern:

In der DSGVO wird die Pflicht zur Benennung des Datenschutzbeauftragten in Art. 37 geregelt. Demnach ist ein Datenschutzbeauftragter zu benennen wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht (Art. 37 Abs. 1 lit. c)

Hiermit wäre für viele Unternehmen keine Benennung eines Datenschutzbeauftragten mehr notwendig. Aber an dieser Stelle macht das BDSG entscheidende Ergänzungen. In § 38 Abs.1 Satz 1 BDSG heißt es:

  • Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 (d.h. DSGVO) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen….
  • Weiterhin ist ein Datenschutzbeauftragter zu benennen, wenn das Unternehmen Verarbeitungen durchführt, welche eine  Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen)

Somit bestehen unter der DSGVO nahezu keinerlei Veränderungen in der Pflicht zur Benennung eines Datenschutzbeauftragten.

 

In der DSGVO wird jetzt jedoch explizit auf die Möglichkeit verwiesen, einen externen Datenschutzbeauftragten zu benennen (Art. 37 Abs.6 DSGVO).

Es ist jedoch zu beachten, dass der Bußgeldrahmen (Art. 83)  in der DSGVO erheblich ausgeweitet wurde. Hiernach kann ein Verstoß gegen die genannten Pflichten mit einer Geldbuße bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Aber allein der Bußgeldrahmen sollte nicht ausschlaggebend sein, um einen Datenschutzbeauftragten zu benennen. Vielmehr wird von vielen Unternehmen der Datenschutz öffentlichkeitswirksam in den Vordergrund gestellt, um sich einen Vorteil gegenüber anderen Unternehmen zu verschaffen. Auch im Rahmen von Ausschreibungen werden teilweise umfangreiche Nachweise zum Datenschutz eingefordert.

Oftmals erfolgt sogar eine freiwillige Benennung eines Datenschutzbeauftragten, wenn keine rechtliche Verpflichtung hierzu besteht.

Ganz wichtig hierbei: Auch wenn keine Bestellpflicht für einen Datenschutzbeauftragten besteht, sind die Vorschriften zum Datenschutz selbstverständlich genauso zu beachten. Ich habe nämlich auch schon zu hören bekommen: „wir müssen keinen Datenschutzbeauftragten bestellen, also was interessiert uns die DSGVO ?

Der einzige Unterschied besteht darin, dass der Verantwortliche (Unternehmensleitung) alle Aufgaben und Verpflichtungen zum Datenschutz selbst umsetzen muss, ohne die Hilfe eines geschulten Datenschutzbeauftragten.

 

Datenschutz Management

Datenschutz Management nach DS-GVO

Ein wichtiger Bestandteil bei der Umsetzung der Datenschutz Grundverordnung (DS-GVO) ist ein aussagefähiges Datenschutz Management System. Wieso benötigt man eigentlich ein Datenschutz Management System werden jetzt sicherlich viele fragen. Reicht es nicht aus, die Vorschriften einfach einzuhalten ? Warum eigentlich ein Management System ?

Hier hilft ein Blick im Artikel 24 Abs. 1 DS-GVO weiter. Gemäß dieser Vorschrift hat der Verantwortliche „sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“ 

Dies wird einigen sehr bekannt vorkommen, da es sich hier um einen typischen PDCA (Plan-Do-Check-Act) Zyklus handelt. Also um einen Kreislauf, in welchem immer wieder geprüft angepasst und verbessert wird. Jeder der sich schon einmal mit Qualitätssicherung befasst hat, wird diesen Kreislauf kennen. Wie man sieht, hängt der Datenschutz sehr eng mit Qualitätssicherung zusammen.

Datenschutz Management Göttingen

Welches Datenschutz Management-System ?

Hier spätestens werden sich vor allem viele kleine und mittlere Unternehmen (KMU) fragen, wie man jetzt noch den Aufwand für ein Datenschutz Management System bewältigen soll. Woran soll man sich orientieren? Vielleicht ein System nach ISO 27001 ? Doch hier wird man feststellen, dass dies zum einen ein sehr aufwendiges System darstellt und zum anderen der Datenschutz hier nur am Rande berührt wird. Es geht bei ISO 27001 vornehmlich um Informationssicherheit.

Aber hier kommen einem die vagen Formulierungen der DS-GVO sehr entgegen. Es wird nämlich kein bestimmtes System verlangt, sondern es muss nur ein systematisches Vorgehen vorhanden sein.

Datenschutz mit VdS 10010

Viele der verfügbaren Managementsysteme sind sehr techniklastig. Aber eines der Systeme ist für den Datenschutz sehr sinnvoll. Hier handelt es sich um das VdS 10010. Dieses Managementsystem ist speziell für kleine und mittlere Unternehmen geeignet. Es ist bei weitem nicht so umfangreich wie beispielsweise ISO 27001 und es ist sehr gut für den Datenschutz geeignet.

Die Umsetzung ist auch möglich, wenn keine umfangreichen Ressourcen zur Verfügung stehen. Außerdem kann man das System auch einfach als Anregung nehmen und es an die eigenen Bedürfnisse anpassen. Selbst wenn dann keine VdS 10010 Zertifizierung erfolgt, ist ein Datenschutz Management System vorhanden und die Erfordernisse der DS-GVO sind erfüllt.

Es gibt jedoch auch Kritikpunkte an VdS 10010. Hier wird insbesondere der Punkt 4.3 (Datenschutzmanager) genannt. Der Hauptkritikpunkt hierbei ist, dass das System für KMU’s entworfen wurde. Aber gerade in diesem Bereich steht für den Datenschutz oftmals nicht ausreichend Personal zur Verfügung. Wenn dann auch noch ein Datenschutzmanager (neben dem Datenschutzbeauftragten) abgestellt werden muss, kann dies schon zu Problemen führen.

Außerdem kennt die DS-GVO bzw. das BDSG-neu keinen Datenschutzmanager. Lediglich der Datenschutzbeauftragte ist in den meisten Fällen zwingend vorgeschrieben.

Ein erfahrener Datenschutzbeauftragter wird hier sicherlich eine geeignete Lösung finden.

Informationspflichten

Informationspflichten nach der DS-GVO

 

Mit dem Inkrafttreten der DS-GVO am 25.05.2018 sind umfangreiche Informationspflichten gegenüber den Betroffenen zu beachten.

In Artikel 12 der DS-GVO ist geregelt, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um die Betroffenen über die sich auf die Verarbeitung beziehenden Informationen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.

 

Datenschutz-informationen Göttingen

Hierbei ist insbesondere darauf zu achten, wie die Daten durch den Verantwortlichen erhoben wurden.

 

Informationspflichten bei Direkterhebung

 

Für den Fall, dass die Daten direkt beim Betroffenen erhoben werden, sind die Vorgaben des Art. 13 DS-GVO zu beachten. Hier ist geregelt, dass folgende Informationen zum Zeitpunkt der Erhebung zu erteilen sind:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Dies sind schon ziemlich viele Informationen, aber es kommt noch mehr. Gemäß Art. 13 Abs. 2 DS-GVO stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der Daten folgende weitere Informationen zur Verfügung:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Praktische Folgen der Informationspflicht

 

Dies hört sich vielleicht nicht sehr kompliziert an, aber es ist zu bedenken, welche Fälle unter die Direkterhebung fallen. Unter anderem ist die Übergabe einer Visitenkarte beispielsweise eine Direkterhebung. Man kann nämlich davon ausgehen, dass diese Daten nicht einfach unbeachtet bleiben, sondern beispielsweise in einem CRM System oder ähnlichen verarbeitet werden. Damit würde Art. 13 DS-GVO Anwendung finden.

Informationspflichten

Viele Autoren vertreten in Fachartikeln die Meinung, dass der Verordnungsgeber hier ein wenig über das Ziel hinausgeschossen ist. Die praktische Umsetzung dieser Vorschrift ist noch unklar. Da ein Verstoß gegen die Vorschrift jedoch gem. Art. 83 Abs.5 lit.b DS-GVO mit einem hohem Bußgeld geahndet werden kann, sind hier kreative Lösungen gefragt. Vielleicht kann man seine eigenen Visitenkarten mit einem QR-Code versehen, welcher auf die geforderten Informationen verweist. Es ist noch unklar, inwieweit diese Lösung rechtskonform ist. Aber vielleicht geben die Aufsichtsbehörden noch rechtzeitig entsprechende Empfehlungen bekannt.

 

Informationspflicht bei Datenerhebung bei Dritten

 

Für den Fall, dass die Daten nicht beim Betroffenen erhoben werden, sondern über andere Quellen, greift die Informationspflicht gem. Art. 14 DS-GVO. Auch hier sind die Informationspflichten ähnlich umfangreich wie bei einer Direkterhebung. Der Verantwortliche hat dem Betroffenen folgende Daten mitzuteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

Wie auch bei der Direkterhebung der Daten sind dem Betroffenen außerdem folgende Informationen gem. Art. 14 Abs. 2 DS-GVO zur Verfügung zu stellen:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

DSGVO-Informationen

Fristen für die Informationspflichten

 

Für die oben genannten Informationspflichten bei Direkterhebung und bei der Datenerhebung über Dritte sind festgelegte Fristen zu beachten:

  • unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
  • falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
  • falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

 

Ausnahmen für Informationspflichten

 

Die Ausnahmen zu den Informationspflichten sind in Art. 14 Abs. 5 DS-GVO geregelt. Am relevantesten dürften sein:

  • die betroffene Person verfügt bereits über die Informationen,
  • die Erteilung dieser Informationen würde sich als unmöglich erweissen oder einen unverhältnismäßigen Aufwand erfordern

Aber bevor man sich auf diese Ausnahmen bezieht, sollte man die aktuellen Sichtweisen der Aufsichtsbehörden bzw. diesbezügliche Urteile kennen. Andernfalls würde man ein unkalkulierbares Risiko eingehen, da ein Verstoß gegen die Informationspflichten in den Bußgeldbereich bis 20 Millionen Euro fällt. Diese höchstmögliche Summe wird sicherlich nicht sofort verhängt werden, aber die niedrigen Bußgelder aus den BDSG Zeiten werden voraussichtlich auch nicht mehr zum Tragen kommen. Man muss hier ab dem 25.05.2018 die aktuellen Entwicklungen zu diesem Thema verfolgen.

 

DSGVO / Alles klar ?!

Inkrafttreten der Datenschutz-Grundverordnung

 

Ab dem 25.05.2018 beginnt für viele Unternehmen eine neue Zeitrechnung im Bereich des Datenschutzes. Mit dem genannten Datum gilt das europäische Datenschutzrecht, die Datenschutz-Grundverordnung (DSGVO). Die DSGVO gilt als EU-Verordnung unmittelbar in den Mitgliedsstasten und muss nicht wie EU-Richtlinien erst von den jeweiligen Parlamenten umgesetzt werden.

Es werden zwar viele datenschutzrechtliche Änderungen wirksam, aber dies sollte kein Grund zur Panik sein. Wer bisher die  Vorschriften des Bundesdatenschutzgesetzes (BDSG) bzw. bei öffentlichen Stellen, die entsprechenden Landesdatenschutzgesetze beachtet und angewendet hat, hat bereits eine gute Grundlage für die Überleitung zu den Vorschriften der GSDVO.

Datenschutz-informationen-goettingen

DSGVO – Neuigkeiten

 

Bei der Vorbereitung auf die DSGVO sollte man sich als erstes die folgenden beiden Artikel anschauen:

  • Art. 5 Abs. 2 DSGVO: Die Rechenschaftspflicht über die Einhaltung der DSGVO Grundsätze. Genau, Sie haben richtig gelesen: Sie haben eine Rechenschaftspflicht zur Einhaltung der Datenschutz-Vorschriften. Sollte es zu einem Streitfall kommen, müssen Sie als Verantwortlicher die Einhaltung der Vorschriften belegen können.
  • Art. 24 DSGVO: Verantwortung des für die Verarbeitung Verantwortlichen. Der Verantwortliche (die Unternehmensleitung) hat die technischen und organisatorischen Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
  • Art. 83 DSGVO: Dieser Artikel kann so mancher Unternehmensleitung Kopfschmerzen bereiten. Die Geldbußen wurden im Zuge der DSGVO massiv erhöht. Im schlimmsten Fall sind Geldbußen bis zu einer Höhe von 20.000.000 Euro bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, je nachdem, welcher der Beträge höher ist. Dies wird sicherlich die Ausnahme sein, aber es ist zu erwarten, dass die durchschnittlichen Bußgelder steigen werden.

Hierbei sollte man auch bedenken, dass die Bußgelder europaweit ähnlich sein sollen. In einem Mitgliedsstaat kann das Bußgeld für ein vergleichbares Vergehen nicht vollkommen anders ausfallen als im Nachbarland.

 

Es werden demnächst wahrscheinlich viele sog. „Datenschutzberater“ unterwegs sein, welche mit der Angst aufgrund der hohen Bußgelder schnelles Geld machen wollen. Dies wird sicherlich auch oft funktionieren, aber es ist meiner Ansicht nach der falsche Ansatz.

Die Umsetzung der DSGVO in einem Unternehmen kann nämlich enorme Vorteile mit sich bringen, da viele Prozesse strukturiert werden müssen und viele Abläufe im Unternehmen transparenter werden. Dabei werden unnötige und somit unwirtschaftliche Prozesse identifiziert und der gesamte Betriebsablauf kann oftmals optimiert werden.

Weiterhin ist ein implementiertes Datenschutzmanagement-System oft ein erheblicher Wettbewerbsvorteil, da dies auch öffentlichkeitswirksam Vorteile gegenüber den Mitbewerbern bringen kann.

 

 

 

 

 

 

Image courtesy of Master isolated images/ FreeDigitalPhotos.net