1. AllgemeinAm 24. Mai 2016 trat die Datenschutz-Grundverordnung (VO (EU) 2016/679) in Kraft, deren Regelungen ab dem 25. Mai 2018 in den Mitgliedsstaaten der Europäischen Union und somit auch in Deutschland unmittelbar anwendbar sind. Die bisherigen Regelungen zum Datenschutz sollen durch die DSGVO ersetzt werden. Die DSGVO hat an einigen Stellen sogenannte Öffnungsklauseln, die es den nationalen Gesetzgebern in einigen Bereichen ermöglichen, selbst datenschutzrechtliche Regelungen zu schaffen. Dies ist beispielsweise in dem neuen Bundesdatenschutzgesetz geschehen. Diese Regelungen sind neben der DSGVO anzuwenden. Nachfolgend möchten wir Ihnen einen Überblick über die neuen Regelungen der DSGVO geben. Show
2. Übergangsfrist und UmsetzungDie DSGVO ist am 25. Mai 2016 in Kraft getreten, gilt aber erst nach einer zweijährigen Übergangsfrist. Dieser Zeitraum dient den nationalen Gesetzgebern, die bisher geltenden Gesetze wie das Bundesdatenschutzgesetz (BDSG) anzupassen. Unternehmen sind angehalten, die Übergangszeit bis zum Gültigwerden der Verordnung zu nutzen, um die internen Datenverarbeitungsprozesse auf Anpassungsbedarf zu überprüfen. Außerdem sollte bei Neuanschaffungen von Datensystemen darauf geachtet werden, dass diese, soweit zum jetzigen Zeitpunkt möglich, die neuen Datenschutzregelungen bereits berücksichtigen. Jedenfalls ab dem 25. Mai 2018 wird die DSGVO die bisherige EG-Datenschutzrichtlinie 95/46 und die nationalen Vorschriften wie das BDSG in weiten Teilen ablösen bzw. ersetzen. Sie gilt direkt, dass heißt Unternehmen müssen sowohl den Text der VO als auch das Nachfolgegesetz zum BDSG als Rechtsgrundlagen für den Datenschutz verwenden. 3. Sachlicher AnwendungsbereichBeim Datenschutz geht es um den Schutz personenbezogener Daten. „Personenbezogene Daten“ sind nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. “Als „identifizierbar“ wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (IP-Adressen, Cookie-Kennungen, Funkfrequenz-kennzeichnungen etc.) oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollen nach dem Willen des Verordnungsgebers alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren. Hierbei sollen alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, aber auch die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen berücksichtigt werden. Anonyme Informationen, dass heißt Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, stellen demnach keine „personenbezogenen Daten“ dar. Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des Persönlichkeitsrechts einer jeden Person. 4. Grundsätze der DSGVO Art. 5 beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden. 5. Zulässigkeit der DatenverarbeitungDer Grundsatz lautet schlicht: Jegliche Verarbeitung personenbezogener Daten ist verboten, es sei denn, es gibt eine Erlaubnis dafür. Dieser Satz scheint angesichts einer fortschreitenden Digitalisierung befremdlich, aber er ist Konsequenz des Grundrechtschutzes der perso-nenbezogenen Daten, wie er vom Bundesverfassungsgericht festgeschrieben wurde („informationelle Selbstbestimmung“), und er ist Inhalt der Europäischen Menschenrechtskonvention. In Artikel 6 sind die verschiedenen Zulässigkeitsgründe für eine Verarbeitung aufgelistet: a) Einwilligung Formale Anforderungen an die Einwilligung enthält Art. 7 DSGVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache verfasst sein. Sie darf nicht in den AGB’s oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen. Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss. Nach den Erwägungsgründen, welche der DSGVO angehängt sind und ihrer Auslegung dienen, gilt eine Einwilligung dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde. Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Danach genügen Blankoeinwilligungen nicht den Ansprüchen. Vielmehr muss die betroffene Person deutlich verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden. Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Dieser Grundsatz bedeutet das Ende von Opt-Out-Wahlmöglichkeiten – Stillschweigen, Inaktivität oder vorangekreuzte Kästchen gehören damit also der Vergangenheit an und werden von der Opt-In-Lösung abgelöst. Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Verantwortliche Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt. Umstritten ist, ob das Kopplungsverbot auch dort Anwendung findet, wo Nutzern entgeltfreie – zum Beispiel werbefinanzierte – Inhalte und Dienstleistungen angeboten werden. Wird eine vertragliche Leistung entgeltfrei angeboten unter Bereitstellung personenbezogener Daten als Gegenleistung (= Dienstleistung gegen Daten) und kann der angebotene Dienst nur auf diese Weise wirtschaftlich angeboten werden, wird teilweise die Ansicht vertreten, dass das Kopplungsverbot nicht greift. Die Klärung dieser Streitfrage bleibt abzuwarten. Bis zur rechtsverbindlichen Entscheidung der Frage, ist es jedoch ratsam, sich an dem Wortlaut der DSGVO zu orientieren und somit das Kopplungsverbot zu beachten. Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. Welche Form sich unter der DSGVO als praktikabel erweisen wird, ist zum heutigen Zeitpunkt noch nicht geklärt. Allerdings – und dies dämpft die Freude über die Lockerung der Formvorschrift erheblich – sollte in jedem Fall berücksichtigt werden, dass Datenverarbeiter zwingend der Nachweispflicht aus Artikel 5 Abs. 2 DSGVO unterliegen. Danach sind sie verpflichtet, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung nachzuweisen. In der Praxis wird es im Ergebnis daher wohl weiterhin empfehlenswert sein, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden. Alt bekannt und keine Überraschung ist das Erfordernis des Hinweises auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden. Von besonders großer Bedeutung für Unternehmen ist die Frage, ob die bislang nach BDSG und TMG eingeholten Einwilligungen fortgelten. Hierzu bringt Erwägungsgrund 171 Licht ins Dunkel. Danach ist es nicht erforderlich, dass betroffene Personen ihre Einwilligung erneut erteilen, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Verstoßen alte Einwilligungen allerdings gegen das Gebot der Freiwilligkeit und insbesondere gegen das neu verankerte Kopplungsverbot nach Art. 7 Abs. 4 DSGVO gelten sie nicht fort und müssen erneut eingeholt werden. Es ist daher ratsam, bestehende Einwilligungen speziell darauf hin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen. Erweisen sich Einwilligungen nach den oben genannten Kriterien als unwirksam, ist das Vorliegen der Einwilligung nicht durch den Verantwortlichen nachweisbar. Falls zudem auch keine sonstigen gesetzlichen Erlaubnistatbestände vorliegen, ist die Verarbeitung der personenbezogenen Daten unzulässig und kann mit einem Bußgeld belegt werden. b) Vertrag
c) Erfüllung einer rechtlichen Verpflichtung d) Wahrung berechtigter Interessen
e) Weiterverarbeitung bei kompatiblem Zweck
Ergibt die Prüfung, dass der Zweck nicht kompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein. f) Besondere Bereiche 6. DatenschutzmanagementDie DSGVO verlangt von den Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen oder die Institution, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden. Ein Datenschutzmanagement sollte folgende Bereiche umfassen: a) Planung und Konzeption Das Unternehmen muss zunächst seine „Datenschutzpolitik“ beschreiben, also Folgendes festlegen:
Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Herfür bieten sich z. B. bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an. b) Umsetzung c) Erfolgskontrolle und Überwachung d) Optimierung und Verbesserung Ergebnis muss jedenfalls sein, dass die Rechtskonformität der Verarbeitung in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist. 7. DatensicherheitDie DSGVO verknüpft Datenschutz und Datensicherheit eng miteinander. Schutz und Technik sind nicht nur bei den technisch-organisatorischen Maßnahmen miteinander verbunden, wie es bisher bei § 9 BDSG und seiner Anlage der Fall war. Die DSGVO verlangt Datensicherheitsmaßnahmen, die geeignet sind, das Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei ist der Stand der Technik angemessen zu berücksichtigen. Es bedarf also einer stetigen Anpassung der Maßnahmen. Zu prüfen ist, ob ein IT-Sicherheitsmanagement notwendig ist. Folgende Schutzziele sind einzuhalten (Die Zuordnung erfolgt zur Konkretisierung unter Berücksichtigung der bisher in § 9 BDSG und seiner Anlage vorgenommenen Definitionen): Vertraulichkeit durch:
Integrität durch:
Verfügbarkeit und Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten) durch:
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO). Zur Festlegung des Schutzbedarfs werden üblicherweise die drei Schutzklassen „normal“, „hoch“ und „sehr hoch“ verwendet. Diese Zuweisung zu den Schutzklassen muss nicht nur für personenbezogene Daten gelten, sondern kann für alle unternehmensrelevanten Informationen verwendet werden. Die Klassifizierung „normal“ gilt z. B. für alle internen Datenverarbeitungen bzw. für Daten, die aus allgemein zugänglichen Quellen stammen. Das Risiko für den Betroffenen ist tolerabel. „Hoch“ ist ein Schutzbedarf für Daten, die einen gewissen Vertraulichkeitsgrad erfüllen müssen, weil eine – erhebliche - Beeinträchtigung der Rechte des Betroffenen möglich ist. Ein „sehr hohes“ Schutzniveau ist zu gewährleisten, wenn eine besonders bedeutende Beeinträchtigung zu befürchten ist. Die Risikobewertung muss also abwägen, wie wahrscheinlich ein Schadenseintritt ist und welchen Schaden er mit welchen Auswirkungen beim Betroffenen anrichten könnte. Bei der Frage, welche Maßnahmen ergriffen werden müssen, ist das Risiko zu betrachten. Die technischen und organisatorischen Maßnahmen müssen im Verhältnis zum Risiko stehen. Hierbei sind folgende Punkte zu berücksichtigen:
Nach der DSGVO gibt es einige Maßnahmen wie:
Im Rahmen der Rechenschaftspflicht nach Art 5 DSGVO müssen die Risikobewertung und die daraufhin passend ergriffenen Maßnahmen dokumentiert werden. Bereits im Vorfeld von Anwendungen zur Verarbeitung personenbezogener Daten müssen die Aspekte eines Datenschutzes durch Technikgestaltung (privacy by design) oder durch datenschutzfreundliche Voreinstellungen (privacy by default) berücksichtigt werden. Damit ist dem Grundsatz der Datenminimierung (Art. 5 DSGVO) zu entsprechen. Schon bei der Beschaffung von IT-Lösungen muss geprüft werden, wie diese Anforderungen umgesetzt werden können. Anonymisierung, Pseudonymisierung, Einschränkung der Verarbeitung (Sperrung) oder Löschung von Daten können hier Maßnahmen sein. Auch diese Überlegungen bzw. Maßnahmen sind zu dokumentieren. 8. Bestellung einer/s betrieblichen Datenschutzbeauftragtena) Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) nach der DSGVO Die Anwendbarkeit der DSGVO ab 25. Mai 2018 bringt eine europaweite Verpflichtung zur Bestellung eines bDSB mit sich. Der bDSB ist zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Unter „Kerntätigkeit“ fallen hierbei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind (insbesondere, aber nicht abschließend: Kundenservice, Marketing, Produktdesign Auskunfteien oder Adresshandel). “Art, Umfang und Zweck“ ist anhand objektiver Merkmale zu beurteilen (insb. die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung). Die DSGVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Hiervon hat der deutsche Gesetzgeber im Rahmen der Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht. Die Bestellpflicht des bDSB wird danach abweichend zur DSGVO erweitert und behält die Regelungen des bisherigen BDSG weitgehend bei. Das heißt, ein bDSB muss bestellt werden, soweit in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen bDSB zu benennen. Eine freiwillige Bestellung von bDSB ist möglich. Die Position des bDSB kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein. b) Anforderungen an die Bestellung und Stellung des bDSB
Stellung des bDSB:
Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den bDSB gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen soweit einem Beschlagnahmeverbot. Nach der geplanten Änderung des BDSG besteht – wie bereits nach der bisherigen Fassung des BDSG – ein besonderer Kündigungsschutz für den bDSB. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach deren Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund. c)
Aufgaben des bDSB
Über diese Mindestaufgaben hinaus nimmt der bDSB eine beratende und unterstützende Funktion ein. Insbesondere sind hier zu nennen: Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht, Unterstützung bei der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie die Erfüllung der Betroffenenrechte (Recht auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten). Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber - unter der Verantwortung des Verantwortlichen – auf den bDSB übertragen werden. Bei der Erfüllung seiner Aufgaben hat der bDSB die Pflicht zur risikoorientierten Tätigkeit, dass heißt, er entscheidet selbst, welche Verarbeitungsvorgänge er aufgrund des damit verbundenen Risikos vorrangig prüft. d) Haftung des bDSB e) Folgen bei Nichtbestellung 9. BetroffenenrechteDie DSGVO stärkt spürbar die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Die DSGVO enthält umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Der Anspruch richtet sich in der Regel gegen den Verantwortlichen. Er ist verpflichtet, der betroffenen Personen die Ausübung ihrer Rechte (Art. 12 Abs. 2 DSGVO) zu erleichtern. Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 DSGVO innerhalb eines Monats antworten. Zwar gibt es Möglichkeiten der Fristverlängerung, allerdings müssen die Gründe dafür ebenfalls innerhalb der Monatsfrist mitgeteilt werden, so dass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Der Verantwortliche im Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten. a) Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte Geht ein Antrag (beispielsweise auf Auskunft) einer betroffenen Person bei dem Verantwortlichen ein, kann dieser entweder tätig werden und Maßnahmen ergreifen z. B. eine Auskunft erteilen (Art. 12 Abs. 3 DSGVO) oder davon absehen. Wird der Verantwortliche aber nicht tätig (Art. 12 Abs. 4 DSGVO), hat er neben den Gründen hierfür die betroffene Person auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen. Wird der Verantwortliche tätig, muss er auf den Antrag der betroffenen Person grundsätzlich unverzüglich reagieren (Art. 12 Abs. 3 DSGVO), in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Allerdings muss dann die betroffene Person innerhalb eines Monats über die Fristverlängerung unter Nennung der Gründe für die Verzögerung unterrichtet werden (Art. 12 Abs. 3 DSGVO). Die Auskunftserteilung erfolgt unentgeltlich. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann ein angemessenes Entgelt verlangt werden oder eine Weigerung erfolgen, aufgrund des Antrags tätig zu werden; der Verantwortliche hat hierfür aber die Nachweispflicht (Art. 12 Abs. 5 DSGVO). b) Informationspflicht bei Datenerhebung beim Betroffenen
Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten, als zu dem für den die personenbezogenen Daten erhoben wurden, so erfordert dies vorab eine erneute Information des Betroffenen über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Art. 13 Abs. 2 DSGVO (Prüfung, ob eine solche Zweckänderung im Rahmen von Art. 6 Abs. 4 DSGVO überhaupt zulässig ist). Ausnahmen: Nach Art. 13 Abs. 4 DSGVO entfällt die Information bei Direkterhebung, wenn und soweit die betroffene Person bereits über die Information verfügt. Weitere geringfügige Ausnahmen hierzu enthält auch § 32 des neuen BDSG, das am 25. Mai 2018 in Kraft treten wird. Hier hat der Gesetzgeber von den Öffnungsklauseln Gebrauch gemacht und weitere Eingrenzungen aufgenommen. c) Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt
Des Weiteren gibt es im Unterschied zu Art. 13 DSGVO detailliertere Regelungen zum Zeitpunkt der Informationserteilung (Art. 14 Abs. 3 DSGVO) und zu den Ausschlusstatbeständen nach Art. 14 Abs. 5 DSGVO, wenn die Informationspflicht entfällt. Auch hier sind weitere Ausnahmen in den §§ 29, 33 des BDSG neu zu finden. Auch zur Videoüberwachung gibt es in § 4 Abs. 2 des BDSG neu Ausnahmen. Grundsätzlich sollte das verantwortliche Unternehmen sicherstellen können, dass diese Datenschutzinformationen den oben genannten Anforderungen entsprechen und insbesondere dass ein Nachweis über die Mitteilung der Informationen geführt werden kann. d) Auskunftsrecht
Form der Auskunftserteilung: je nach Sachverhalt schriftlich, elektronisch oder mündlich, möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3 DSGVO). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet. Auch hier sieht das BDSG-neu Erleichterungen bzw. Modifizierungen vor (§§ 29, 30, 34 BDSG-neu). e) Recht auf Berichtigung f) Recht auf Löschung, Recht auf Vergessenwerden
Hier geht es um die Idee des „digitalen Radiergummis“, wobei dies nicht nur für den Online-Bereich gilt. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet (Art. 17 Abs. 1 DSGVO), muss er nach Art. 17 Abs. 2 DSGVO unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihm die Löschung aller Links zu diesen personenbezogene Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Ein Verantwortlicher muss also andere Verantwortliche darüber informieren, dass der Betroffenen die Löschung etwa aller Links oder Kopien verlangt. Ausnahmen (Art. 17 Abs. 3 DSGVO): Es besteht für den Verantwortlichen keine Pflicht zur Löschung, wenn die weitere Speicherung der personenbezogenen Daten aus einem der folgenden Gründe erforderlich ist:
Weitere Ausnahmen etwa für in Papierform gespeicherte Daten sieht § 35 BDSG-neu vor. g) Recht auf Einschränkung der Verarbeitung
Wurde die Verarbeitung auf Antrag des Betroffenen eingeschränkt, so dürfen diese personenbezogenen Daten – mit Ausnahme ihrer Speicherung – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union
oder eines Mitgliedstaates verarbeitet werden. Außerdem muss der Verantwortliche die betroffene Person vor Aufhebung der Einschränkung unterrichten (Art. 18 Abs. 3 DSGVO). h) Recht auf Datenübertragbarkeit
Der Betroffene kann also erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen übermittelt werden, soweit dies technisch möglich ist. Ausnahmen gelten, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ferner dürfen die Rechte und Freiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden. i) Recht auf Widerspruch
Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DSGVO). Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einer verständlichen und von anderen Informationen getrennter Form hingewiesen werden. § 36 BDSG-neu schränkt das Widerspruchsrecht gegenüber öffentlichen Stellen bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein. j) Automatisierte Entscheidung im Einzelfall
Geringfügige Ausnahmen finden sich in § 37 BDSG-neu. 10. Überblick: DokumentationspflichtenDie DSGVO betont die Verantwortlichkeit, die Unternehmen (auch „verantwortliche Stellen“ oder „Verantwortliche“ genannt) für die Einhaltung des Datenschutzes haben. Sie müssen nachweisen können, dass ihre Datenverarbeitung datenschutzkonform ist. Umfangreiche Pflichten zur Dokumentation sollen dies sicherstellen. Die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren sowie für eine nachträgliche Information Betroffener. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben, Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen. Die DSGVO kennt im Wesentlichen folgende Dokumentationspflichten: Art. 5 Abs. 2, 24 Abs. 1 DSGVO - Rechenschaftspflicht In der Praxis setzt man diese Pflicht über die Beschreibung einer Verarbeitung im sog. „Verzeichnis für Verarbeitungstätigkeiten“ um und ergänzt diese idealerweise um die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird. Art. 6 DSGVO - Interessenabwägung, Zweckänderung Art. 7 DSGVO - erteilte Einwilligungen
Die Datenschutzaufsichtsbehörden in Deutschland haben beschlossen, dass bisher rechtswirksame Einwilligungen weiterhin wirksam sind (Beschluss des „Düsseldorfer Kreises“ vom 13./14. September 2016). Jedoch müssen Verantwortliche deren Einholung nachweisen können. Dies setzt eine entsprechende Dokumentation voraus (Einwilligungs-Management). Art. 8 DSGVO - Einwilligung bei Kindern – Pflicht zur Altersverifikation Art. 12 ff. DSGVO – Betroffenenrechte Art. 13, 14 DSGVO - Erfüllung der Informationspflichten Ein Verstoß gegen Informationspflichten führt in der Regel nicht dazu, dass die Datenverarbeitung unzulässig wird. Allerdings sind die Verstöße bußgeldbewährt. Art. 15 DSGVO - Erfüllung der Auskunftsersuchen
Art. 16 DSGVO - Erfüllung des Rechts auf
Berichtigung Art. 17 DSGVO - Erfüllung des Rechts auf Löschung Wer Angaben über eine Person (im Internet) veröffentlicht, sollte festhalten, an wen er welche Daten zur Veröffentlichung weitergegeben hat. Denn verantwortliche Stellen müssen angemessene Maßnahmen ergreifen, um zu gewährleisten, dass sie diejenigen, an die sie die Daten über eine Person weitergeben haben, darüber informieren können, dass diese Person eine Löschung aller Links, Kopien oder Replikationen verlangt. Um diesen Anspruch erfüllen zu können, haben sie unter Berücksichtigung angemessener Implementierungskosten eine entsprechende Technologie einzusetzen. Art. 18 DSGVO -
Erfüllung des Rechts auf Einschränkung der Verarbeitung
Eine Einschränkung der Verarbeitung bleibt bestehen, bis nachgeprüft ist und feststeht, ob ein Verantwortlicher die Daten rechtmäßig verarbeitet, weil er berechtigte Gründe hierfür geltend machen kann und diese diejenigen überwiegen, die der Betroffenen vorträgt. Eine Einschränkung der Verarbeitung hat zur Folge, dass Verantwortliche derartige Daten zwar speichern, jedoch nur noch sehr eingeschränkt weiterhin verwenden dürfen, das heißt entweder nur mit der Einwilligung der Betroffenen oder zur Durchsetzung von Rechtsansprüchen oder bei Vorliegen eines wichtigen Interesses der Union oder eines Mitgliedstaates. Verlangt ein Betroffener dies, so hat ein Verantwortlicher ihn auch darüber zu informieren, dass er eine Einschränkung einer Verarbeitung aufhebt. Auch dies sollte dokumentiert werden. Art. 19 DSGVO - Mitteilungspflicht an Dritte Art. 20 DSGVO- Erfüllung des Rechts auf Datenübertragung (Datenportabilität)
Verantwortliche sollten Umfang und Grenzen dieses Rechts kennen. Dieses bezieht sich ausschließlich auf sog. „bereit gestellte“ und damit auf solche Daten, die vom Betroffenen selbst stammen. Diese sind ihm auf Verlangen in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Besteht dieses Recht, kann ein Betroffener fordern, dass ein Verantwortlicher seine Daten direkt an einen anderen Verantwortlichen übermittelt, soweit dies technisch machbar ist. „Soweit technisch machbar“ bedeutet, dass Verantwortliche bereits über entsprechende Einrichtungen verfügen, diese aber nicht neu implementieren müssen, um das Recht auf Datenportabilität erfüllen zu können.nUm diesem Betroffenenrecht nachkommen zu können, sollten Verantwortliche ermitteln, welche Datensätze von diesem Recht betroffen sein könnten. Art. 7 Abs. 3, Art. 13 Abs. 2, Art. 14 Abs. 2d DSGVO – Widerruf einer Einwilligung Art. 21 DSGVO - Ausübung des Widerspruchsrechts Einer Direktwerbung mit seinen Daten (einschließlich einem hierauf gestützten Profiling) kann ein Betroffener ebenfalls jederzeit widersprechen. Ein Widerspruch bewirkt, dass seine Daten nicht mehr verwendet werden dürfen, um ihn mittels Werbung direkt anzusprechen. Verantwortliche sollten diejenigen Sachverhalte ermitteln, in denen Betroffenen ein derartiges Widerrufsrecht zusteht. Ferner sollten sie nachweisen können, dass sie Betroffene – und dies spätestens bei der ersten Kommunikation – auf ein Widerspruchsrecht hingewiesen haben. Dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. Art. 24 DSGVO - technisch-organisatorische Maßnahmen Vertragsmanagement Art. 26 DSGVO – Gemeinsame Verantwortliche (Joint Controllership)
Diese Festlegungen wirken jedoch verbindlich nur im Innenverhältnis zwischen den gemeinsam Verantwortlichen, so z. B. wenn nachgewiesen werden muss, dass ein gemeinsamer Verantwortlicher seine vertraglich übernommenen Pflichten auch tatsächlich erfüllt hat. Unabhängig von getroffenen Vereinbarungen haben Betroffene das Recht, ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend zu machen. Gemeinsam Verantwortliche sollten eine Haftungsklausel in den Vertrag aufnehmen und hierin festlegen, wer im Innen-verhältnis für welche Datenvorfälle haftet. Betroffene können frei wählen, welcher der gemeinsam Verantwortlichen ihnen gegenüber haften soll. Art. 28 DSGVO – Vereinbarung über eine Auftragsverarbeitung (ADV)
Art. 5 Abs. 1f, Art. 29, Art. 32 Abs. 4 DSGVO – Beschäftigte als Weisungsempfänger, Verpflichtung zur Vertraulichkeit Die DSGVO regelt, dass Beschäftigte personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten dürfen. Diese sind verpflichtet, ihre Mitarbeiter entsprechend anzuhalten. Insoweit sollten Verantwortliche notwendige interne Datenschutzregelungen (Betriebsvereinbarungen, Dienstanweisungen) erstellen und die Mitarbeiter in diesen Fragen entsprechend informieren und schulen. Interne Datenschutzregelungen sowie sonstige Anweisungen zum Datenschutz sollten dokumentiert und regelmäßig auf Änderungsbedarf geprüft werden. Private Arbeitgeber sind nach der DSGVO nicht mehr ausdrücklich verpflichtet, ihre Mitarbeiter auf das Datengeheimnis zu verpflichten. Jedoch haben Verantwortliche aufgrund ihrer Organisationspflicht Beschäftigte zur Vertraulichkeit anzuweisen, idealerweise über eine Verpflichtung zur Vertraulichkeit und ggf. zur Wahrung sonstiger Berufsgeheimnisse. Ferner sollten Mitarbeiter stets auf die Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse verpflichtet werden. Auftragsverarbeiter haben zu gewährleisten und nachzuweisen, dass sie ihre Mitarbeiter zur Vertraulichkeit verpflichtet haben. Beschäftigte sollten ferner Kenntnis davon haben, dass sie für eine unbefugte Verarbeitung personenbezogener Daten einstehen müssen. Je nach Sachverhalt kann diese u. U. als Ordnungswidrigkeit oder als Straftat verfolgt werden, arbeitsrechtliche Folgen (Abmahnung, Kündigung) haben und eine Haftung sowohl der Betroffenen als auch dem Arbeitgeber gegenüber bewirken. Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten Art. 32 DSGVO – Sicherheit der Verarbeitung Angemessene Sicherheit personenbezogener Daten ist hierbei zu gewährleisten vor:
Dementsprechend sollten die Maßnahmen und ihre Dokumentation Folgendes umfassen:
Datenpannen und Meldepflichten Art. 33 DSGVO - Meldung von Datenverletzungen Eine Meldepflicht entfällt, wenn die Datenverletzung voraussichtlich nicht zu einem Risiko für Betroffene führt (z. B. weil die Daten auf dem als verloren gemeldeten iPad sicher nach dem Stand der Technik verschlüsselt sind). Die DSGVO verpflichtet Verantwortliche, jede Datenverletzung zu dokumentieren und hierbei alle Fakten, Auswirkungen und ergriffene Abhilfemaßnahmen festzuhalten. Stellt ein Auftragsverarbeiter eine Datenpanne fest, so hat er diese unverzüglich dem Verantwortlichen zu melden. Art. 34 DSGVO - Meldung von Datenverletzungen an Betroffenen Art. 35 DSGVO - Datenschutz-Folgenabschätzung Art. 36 DSGVO - vorherige Konsultation der Aufsicht
Art. 37 DSGVO - Benennung eines betrieblichen/behördlichen Datenschutzbeauftragten Art. 40 DSGVO - Verhaltensregeln Art. 42 DSGVO- Zertifizierung Art. 47 DSGVO - verbindliche interne Datenschutzvorschriften Art. 49 Abs. 6 DSGVO – Ausnahmen für bestimmte Fälle/Übermittlungen personenbe-zogener Daten an Drittländer oder an internationale Organisationen 11. Privacy by design/Privacy by defaultIn Zeiten der Digitalisierung steigt die Menge erfasster Daten sowie datenverarbeitender Anwendungen stetig. Dies führt wiederum dazu, dass die Wahrung eines angemessenen Persönlichkeitsschutzes maßgeblich von der jeweiligen Technikgestaltung abhängt. Im Hinblick auf die Gestaltung von Systemen, angefangen von der Produktentwicklung bis hin zu ihrer Implementierung, wurden daher bereits in der Vergangenheit zunehmend die Ansätze Datenschutz durch Technik („privacy by design“) und datenschutzfreundliche Voreinstellungen („privacy by default“) thematisiert. Mit dem Inkrafttreten der DSGVO im Mai 2016 haben diese Gestaltungsprinzipien nun auch ihren gesetzlichen Niederschlag gefunden (vgl. Art. 24, 25 DSGVO). Die Berücksichtigung von „privacy by design“ und „privacy by default“ ist damit kein Nice-to-have mehr. Vielmehr handelt es sich um eine explizite Anforderung an die Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten, mit dem Ziel, das Prinzip der Daten-vermeidung und Datensparsamkeit in Verarbeitungssystemen wirksam umzusetzen. Oder anders gesagt: Damit der Datenschutz nicht von der technischen Entwicklung abgehängt wird, sind Produkte/ Systeme frühzeitig um angemessene Datenschutzfunktionen zu ergänzen, so dass das Risiko datenschutzkritischer Entwicklungen, welche unmittelbar aus der Nutzung technischer Systeme resultieren, von vornherein verringert wird (z. B. durch frühzeitige Pseudonymisierung der Daten). Empfehlungen, inwiefern, das heißt mit welchen Strategien Datenschutz im Wege von „privacy by design“ in Produkten und Systemen verankert werden kann, hat die Europäische Agentur für Netz- und Informationssicherheit (ENISA) im Hinblick auf die DSGVO bereits in einem Bericht vom Dezember 2014 veröffentlicht. Die Umsetzungsmöglichkeiten spiegeln sich dabei in den folgenden acht Strategien wider:
Wurden die datenschutzrechtlichen Anforderungen beim Erwerb von IT-Produkten sowie auch bei werkvertraglichen oder eigenen Individualentwicklungen bislang also eher vernachlässigt, so sind diese nun ausdrücklich zu berücksichtigen. Dies gilt umso mehr, da gegenüber der verantwortlichen Stelle nunmehr ein Bußgeld von bis zu 10.000.000,00 EUR verhängt werden kann (vgl. Art. 83 Abs. 4 a DS-GVO), wenn diese sich trotz der Existenz datenschutzkonformer Alternativen für den Einsatz datenschutzkritischer IT-Lösungen entscheidet. 12. Melde- und Benachrichtigungspflichten bei DatenschutzverletzungenNach der DSGVO unterliegen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten der Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO und der Benachrichtigungspflicht des Betroffenen gemäß Art. 34 DSGVO. Diesen Pflichten sind im Vergleich zu der bisher geltenden Regelung des § 42a BDSG umfangreicher. a) Meldepflicht gegenüber Aufsichtsbehörde Grundsätzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Nach Art. 4 Nr. 12 DSGVO stellt jede Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, eine meldepflichtige Verletzung dar. Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen. Ein Risiko – und damit eine Meldepflicht – besteht nach Erwägungsgrund 75 der DSGVO immer bei solchen Verarbeitungen, die
Die Meldung an die Aufsichtsbehörde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungefährer Zahl der Betroffenen und der Datensätze enthalten. Außerdem ist Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschließend hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung zu erfolgen. b) Benachrichtigungspflicht gegenüber dem Betroffenen Eine Benachrichtigung muss nicht erfolgen, wenn
Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprach abgefasst werden. Darüber hinaus sind Name und Kontakt des Datenschutzbeauftragten zu nennen. c) Verstoß gegen die Melde-/ oder Benachrichtigungspflicht Hiervon trifft § 43 Abs. 4 BDSG-neu eine abweichende Regelung: Danach kann eine Meldung nach Art. 33 DSGVO oder eine Benachrichtigung nach 34 DSGVO in einem Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen oder Benachrichtigenden nur mit dessen Zustimmung verwendet werden. Ob diese Abweichung im nationalen Recht zukünftig Bestand haben wird, bleibt abzuwarten. Über die Vereinbarkeit der Ausnahme mit Europarecht besteht aktuell Uneinigkeit. Letztendlich werden wohl die Gerichte hierüber entscheiden. Es empfiehlt sich daher aus Unternehmersicht, sich an den Anforderungen der DSGVO zu orientieren und die weitere Entwicklung aufmerksam zu beobachten. 13. Durchführung einer Datenschutz-FolgenabschätzungDie DSGVO regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung, Art. 24, 32 DSGVO. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung (DSFA) vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Über das Instrumentarium der DSFA sollen Risiken beschrieben, bewertet und reduziert werden. Lässt sich ein (sehr) hohes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen. Eine DSFA ist zu überprüfen und anzupassen, sollten neue Risiken hinzukommen, die bereits behandelte Risiken ändern oder wesentlich erschweren. Über Prüfroutinen kann sicher¬gestellt werden, dass eine DSFA noch aktuell ist. Behandlung bereits vorhandener
Datenverarbeitungen Vorgehensweise
Schutzbedarfskategorien – Schadensschwere
Bestandteile einer Datenschutz-Folgenabschätzung 1. Risikobewertung
In einer Skalierung Verfahren zur Risikobestimmung
Quelle: Bayerisches Landesamt für Datenschutzaufsicht Praxis-Tipps:
Die Art. 29-Datenschutzgruppe hat in den Leitlinien zur DSFA Kriterien festgelegt, anhand deren geprüft werden sollte, ob eine DSFA durchgeführt werden muss. Dies soll umso wahrscheinlicher sein, wenn mindestens zwei und mehr der nachfolgenden und als besonders riskant eingestuften Kriterien erfüllt sind:
2. Schaden Eine Person kann durch eine Datenverarbeitung physische, materielle und immaterielle
3. Risikominimierung Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten. In der Regel handelt es sich um eine Kombination aus
4. Nachweise hierüber erbringen (Dokumentation!) Die Durchführung einer Datenschutz-Folgenabschätzung ist eine gesetzliche
Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.
Datenschutzaufsichtsbehörden können (optional) eine Liste von Verarbeitungstätigkeiten (sog. Whitelist) veröffentlichen, die aus ihrer Sicht nie hochrisikobehaftet sind und damit keiner DSFA bedürfen. Offen ist, ob die Datenschutzaufsichtsbehörden von dieser gesetzlichen Möglichkeit Gebrauch machen werden.
Führen
geeignete technische und/oder organisatorische Maßnahmen dazu, dass für die Daten Betroffener ein (sehr) hohes Risiko in ein normales Risiko reduziert werden kann, ist keine Datenschutz-Folgenabschätzung durchzuführen. So muss ein hoher Schutzbedarf (z. B. biometrische Daten, Personalaktendaten) für sich allein nicht zwingend zu einem hohen Risiko führen, sondern nur dann, wenn gleichzeitig die Eintrittswahrscheinlichkeit für einen Vorfall hoch ist. Diesen legt die DSGVO wie folgt fest
Verbleibt ein (sehr) hohes Restrisiko, bedeutet dies Folgendes:
Rolle des Datenschutzbeauftragten Hat eine verantwortliche Stelle freiwillig oder aufgrund gesetzlicher Vorgabe einen betrieblichen Datenschutzbeauftragten bestellt, so legt die DSGVO bezogen auf Datenschutz-Folgenabschätzungen Folgendes fest:
Prozessschritte einer DSFA
14. BeschäftigtendatenschutzDie DSGVO trifft keine inhaltlichen Regelungen zum Datenschutz im Beschäftigungsverhältnis, sondern überlässt es dem nationalen Gesetzgeber, hierzu Vorschiften zu erlassen. Der deutsche Gesetzgeber hat das innerhalb der Änderung des BDSG mit § 26 BDSG-neu getan. Dieser lehnt sich weitgehend an den § 32 des noch geltenden BDSG an. a) Rechtsgrundlagen Die Geltung der Vorschriften der DSGVO und des BDSG setzt keine IT-gestützte Verarbeitung von Personaldaten voraus; sie gelten auch für in Papierform geführte Personalakten, § 26 Abs. 7 BDSG. b.) Begriff des Beschäftigten Nach § 26 Abs. 8 BDSG umfasst der Begriff auch LeiharbeitnehmerInnen sowie Bewerber/-innen und ausgeschiedene Arbeitnehmer/-innen. c) Einwilligung Falls der Arbeitgeber für die Datenverarbeitung eine Einwilligung des Beschäftigten benötigt, muss sie nach § 26 Abs. 2 BDSG in Schriftform eingeholt werden. Die Freiwilligkeit der Einwilligung wird vermutet, wenn sich für den Arbeitnehmer ein rechtlicher oder wirtschaftlicher Vorteil ergibt (z. B. betriebliche Altersversorgung). Der Beschäftigte ist dabei auf die jederzeitige Widerrufsmöglichkeit seiner Einwilligung hinzuweisen. Insofern muss jedes Unternehmen überprüfen, ob bisherige Einwilligungen, die von den Beschäftigten eingeholt wurden, noch gültig sind. Die Anforderungen ergeben sich aus Art. 7 DSGVO. Fehlt es also an dem Hinweis auf das jederzeitige Widerrufsrecht und an der Darstellung des Zwecks der mit der Einwilligung verfolgten Datenverarbeitung, bestehen berechtigte Zweifel an der Gültigkeit der alten Einwilligungen nach dem 25. Mai 2018. Nach Art. 22 Abs. 2 Buchstabe c) DSGVO bedarf eine automatisierte Entscheidung z. B. in Fällen elektronischer Scoring-Verfahren im Personalbereich einer ausdrücklichen Einwilligung der Beschäftigten. Die Einwilligungen z. B. zur Verwendung eines Fotos des Beschäftigten im Internet oder zur privaten Nutzung von E-Mail und Internet mit Überprüfungsrecht des Arbeitgebers sollten auf vom Arbeitsvertrag getrennten Dokumenten eingeholt werden, weil sonst bei jedem neuen Einwilligungserfordernis der Arbeitsvertag geändert werden müsste. d) Kollektivvereinbarungen Bisherige Betriebs- oder Dienstvereinbarungen müssen ebenfalls auf ihre Übereinstimmung mit der DSGVO überprüft werden. Dabei geht es insbesondere um die erhöhten Transparenzplichten nach Art. 13 und 14 DSGVO, also die Informationspflichten gegenüber der betroffenen Person, hier den Beschäftigten. Die Informationspflichten betreffen insbesondere den genauen Datenkranz, der verarbeitet wird, die Zwecke sowie die Angaben, an wen die Daten übermittelt werden. Davon umfasst ist auch der Hinweis auf etwaige Übermittlungen in Drittstaaten. Die Beschäftigten müssen auch über ihre Rechte nach Art. 12 DSGVO informiert werden:
e) Datentransfer im Konzern Als Rechtsgrundlage für eine Übermittlung von Personaldaten innerhalb eines Konzerns z. B. an die Tochter oder an die Konzernmutter, die die gesamte Personalverwaltung durchführt, kann auf Art. 6 Abs. 1 Buchstabe f) DSGVO gestützt werden, wenn die Erforderlichkeit für den Transfer dargelegt werden kann. Damit wäre auch eine Übermittlung von Daten in Drittstaaten zulässig, wenn das angemessene Datenschutzniveau nach den Mechanismen der Art. 44 ff. DSGVO nachgewiesen werden kann. Datenschutz-Folgenabschätzung Da zur Erfüllung z. B. der Verpflichtung zur Abführung der Kirchensteuer die Religionszugehörigkeit erfasst werden muss, muss für die Verarbeitung der Personalstammdaten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Das gilt auch wegen der Verarbeitung von Gesundheitsdaten (z. B. Krankmeldungen, betriebliches Wiedereingliederungsmanagement) oder automatisierte Personalentscheidungen. a) Prüfschema für Betriebsvereinbarungen 1. Anforderungen nach DSGVO
Außerdem müssen die Grundsätze nach Art. 5 DSGVO ihren
Niederschlag finden. Neu: Die DSGVO erfordert darüber hinaus angemessene und besondere Maßnahmen im Hinblick auf die Transparenz der Verarbeitung oder über eingesetzte Arbeitsmittel. Zu beachten:
2. Prüfschema für bestehende Betriebsvereinbarungen a) Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet? aa) Rechtmäßigkeit (= Erlaubnistatbestände vorhanden?) bb) Zweckbindungsgrundsatz cc) Datenminimierung dd) Datenrichtigkeit ee) Speicherbegrenzung ff) Integrität und Vertraulichkeit 3. Werden besondere Kategorien personenbezogener Daten
verarbeitet? 4. Sind Maßnahmen getroffen worden, um die Informationspflichten zu erfüllen? Der Arbeitgeber muss Angaben machen zu: Name des Verantwortlichen, seines Vertreters, des betrieblichen Datenschutzbeauftragten, den Zweck sowie die Rechtsgrundlage der Verarbeitung, Speicherfristen, Betroffenenrechte, Empfänger der Daten, Beschwerderechte und Rechtsbehelfe, Datenverarbeitung im Drittland. 5. Sind Maßnahmen getroffen worden, um die Betroffenenrechte zu berücksichtigen? Sind die Angaben zu den Betroffenenrechten nach Art. 15 DSGVO sowie Mitteilungen nach Art. 16 ff. DSGVO enthalten? Die umfangreichen Angaben sollten als Anhang zum Arbeitsvertrag oder in der Betriebsvereinbarung abgebildet werden. Praxistipp: Diese Merkblatt soll – als Service Ihrer Kammer – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Kurzinformation mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden. Stand: Mai 2019 |