Von Roger Gabor
Die seit 25.05.2018 gültige Datenschutz-Grundverordnung (DSGVO) verschärft rechtliche Folgen gravierend und kann den Bestand eines Unternehmens gefährden.
Die Sensibilisierung für den Datenschutz birgt Reputationsrisiken für Unternehmen. Ein Verstoß gegen gesetzliche Bestimmungen kann empfindliche Bußgelder zur Folge haben. Hinzu kommen Schadenersatzansprüche. Dies schärft den Blick für den Kerngedanken, der dem Ziel regelkonformen Verhaltens zugrunde liegt: Gesetzliche Bestimmungen einzuhalten ist lohnender als ein Verstoß.
Die seit 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO) verschärft rechtliche Folgen gravierend und kann den Bestand eines Unternehmens potentiell gefährden. Die Einhaltung der gesetzlichen Datenschutzbestimmungen wird daher noch wichtiger. Betroffen ist jedes Unternehmen, ob groß oder klein.
Zentraler Baustein des neuen Rechtsrahmens ist eine datenschutzgerechte Konzeption Ihrer technischen Systeme und organisatorischen Abläufe. Hierzu gehört der sogenannte konzeptionsbedingte Datenschutz (“Privacy by Design”) wie auch der Datenschutz aufgrund von standardmäßigen Voreinstellungen (“Privacy by Default”).
Von Anfang an müssen Datenverarbeitungssysteme künftig ein integriertes Datenschutzmanagementsystem enthalten und technische Maßnahmen zur Datensicherheit vorsehen. Vor dem Hintergrund von Privacy by Default werden Sie jeweils die “datenschutzfreundlichste Option als Standard-Konfiguration” vorsehen müssen.
Vor dem Hintergrund von Privacy by Design werden die Anforderungen an Software-Komponenten so ausgestaltet sein müssen, dass der Letztverbraucher seine Informationshoheit effektiv ausüben und steuern kann.
Dafür muss er z.B. die Möglichkeit erhalten, Vertrags- und Berechtigungsprofile einzusehen, zu kontrollieren und durchschlagend gegen Abweichungen vorzugehen – um Einfluss auf die Löschung von Spuren über die Nutzung und die anonyme Nutzung zu gewährleisten.
Die Aufsichtsbehörden plädieren hier vor allen Dingen für „Privacy by Design“, also eine datenschutzgerechte Voreinstellung von Hard- und Software für den Selbstdatenschutz durch die aufgeklärten Nutzer. Das Prinzip umfasst, möglichst sparsam mit personenbezogenen Daten umzugehen, sie fristgerecht zu löschen oder auf eine verschlüsselte Übertragung zu achten.
Datenschutz durch Technik
Die DSGVO führt in Art. 25 ihre Grundsätze des Datenschutzes durch Technikgestaltung („Privacy by Design“) und datenschutzfreundliche Voreinstellungen („Privacy by Default“) ein.
a) Privacy by Design
Art. 25 Abs. 1 DSGVO legt Verantwortlichen die Pflicht auf, ihre IT-Systeme zur Verarbeitung personenbezogener Daten so zu gestalten, dass sie die Datenschutzgrundsätze (insbesondere Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit) wirksam umsetzen. Diese datenschutzrechtlichen Belange zu berücksichtigen verlagert sich damit in die Phase der Produktentwicklung.
Diese Vorverlagerung des Schutzes in die Phase der Produktentwicklung erfordert es, den zuständigen Datenschutzbeauftragten und seine Expertise frühzeitig in datenschutzrelevante Projekte in Ihrem Unternehmen einzubinden.
b) Privacy by Default
Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche durch technische Vorkehrungen sicherzustellen, dass nur die für einen bestimmten Verarbeitungszweck erforderlichen Daten verarbeitet werden.
Die danach zu wählenden Voreinstellungen beziehen sich auf die Menge und den Umfang der verarbeiteten Daten, ihre Speicherdauer sowie ihre Zugänglichkeit.
Die Pflicht, datenschutzfreundliche Voreinstellungen zu gewährleisten, trifft im Ergebnis jedes Unternehmen.
Meldepflichten bei Datenschutzverletzungen
Art. 33 DSGVO verpflichtet Unternehmen im Fall einer Datenschutzverletzung, innerhalb von 72 Stunden die Aufsichtsbehörde zu informieren. Mit der DSGVO entfällt die Begrenzung auf bestimmte Datenkategorien. Eine Meldung an die Aufsichtsbehörde hat nunmehr in jedem Fall einer Datenschutzverletzung zu erfolgen. Eine Ausnahme gilt nur dann, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die betroffene Person führt. Der Verantwortliche wird ein Risiko für die betroffene Person nur in seltenen Fällen sicher ausschließen können.
Sie sollten festgestellte Datenschutzverletzungen künftig daher in jedem Fall dokumentieren und vorsorglich an die Aufsichtsbehörde melden. Die Aufsichtsbehörden haben angekündigt, eine Orientierungshilfe herauszugeben, die verständlich macht, wann konkret eine Meldung erforderlich wird.
Auf die Benachrichtigung der betroffenen Person kann verzichtet werden, wenn der Verantwortliche durch technische und organisatorische Vorkehrungen sicherstellt, dass Unbefugten ein Zugang zu den betroffenen Daten nicht möglich ist.
Diese Regelung ist ein Anreiz, soweit möglich, durchgängig wirksame Verschlüsselungsmechanismen zu implementieren.
Auftragsverarbeitung
Hinsichtlich der Datenverarbeitung im Auftrag hält die DSGVO auch Überraschungen bereit. Auftragsdatenverarbeiter haften künftig für Datenschutzverstöße ihrer Auftraggeber!
Im Fall eines Auftragsverarbeitungsverhältnisses ist der Vertrag indes nicht mehr zwingend schriftlich zu schließen. Damit dürfte die Vereinbarung in Textform ausreichend sein.
In einigen Punkten bestehen jedoch erhebliche Abweichungen zum bisher geltenden Recht.
Dies macht eine Anpassung aller Auftragsdatenverarbeitungs-Verträge erforderlich.
Dokumentation
Wesentliche Elemente zur Erfüllung nunmehr eingeführten Dokumentations- und Nachweispflichten sind:
• Verzeichnis von Verarbeitungstätigkeiten
• Datenschutz-Folgenabschätzung für risikobehaftete Datenverarbeitungen
• Datenschutzkonzept/Datenschutzrichtlinie
• IT-Sicherheitskonzept mit Beschreibung der getroffenen technischen und organisatorischen Datensicherheitsmaßnahmen
• Dokumentation von Einwilligungserklärungen, Vereinbarungen zur Auftragsver-arbeitung und Schulungsmaßnahmen
• Zertifikat/Datenschutzaudit eines unabhängigen Dritten
Aufgrund der Dokumentations- und Nachweispflichten und den festgelegten Pflichten des Verantwortlichen sind Unternehmen gut beraten, ein Datenschutzmanagement-System einzuführen.
Bußgelder
Gegenüber den bisherigen Bußgeldvorschriften stellt die DSGVO erheblich verschärfte Sanktionsmöglichkeiten bereit.
Nach Art. 83 DSGVO kann wegen Verstoßes gegen organisatorische Regelungen eine Geldbuße bis zu 10 Mio. Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Bei Verstößen gegen die Grundsätze der DSGVO erhöht sich der Bußgeldrahmen auf bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes. Es gilt jeweils der Betrag, der höher ist.
Fazit
Die DSGVO entfaltet in allen Mitgliedstaaten der Europäischen Union unmittelbare Wirkung.
Um die Anforderungen der DSGVO umzusetzen, sind die unternehmensinternen Prozesse zu überprüfen und ggf. anzupassen.
Von besonderer Bedeutung ist dabei, die Einbindung des Datenschutzbeauftragten in sämtliche datenschutzrelevante Geschäftsprozesse sicherzustellen.
Um die zahlreichen Compliance-Pflichten umzusetzen und ihre Erfüllung im Zweifel nachweisen zu können, steht Ihnen Rechtsanwalt Roger Gabor gerne und jederzeit zur Verfügung.
Das sollten Sie tun:
• Erstellen des Verarbeitungsverzeichnisses
• Einholung von Einwilligungen mit Hinweis auf jederzeitigen Widerruf
• Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht schaffen
• Risikobewertung der verarbeiteten Daten und der technisch-organisatorischen Maßnahmen vornehmen
• Informationspflichten erfüllen
• Prozess zur Beantwortung von Betroffenenrechten einrichten
• Löschkonzept vorhalten
• Anpassung von Auftragsverarbeitungen
• Anpassung der Betriebsvereinbarungen (sofern vorhanden)
• Aufbau einer IT-Sicherheit
• Neue Datenschutzbelehrung auf Ihrer Website implementieren.
