Kanzlei Nickert //images.kanzleinickert.de/nickert-logo-fb.jpg KANZLEI NICKERT | Rechtsanwälte und Steuerberater, Offenburg, kompetent in Rechts-, Steuerberatung, Finanz-, Lohnbuchhaltung, spezialisiert auf Branchen Bau, Handel und Industrie. info@kanzlei-nickert.de
Rammersweierstraße 120 77654 Offenburg

kanzlei nickert logo

header-tax-blog-recht

Montag, 24 Juli 2017 07:39

Ausblick über datenschutzrechtliche Pflichten nach der DSGVO sowie dem BDSG 2018

Die EU-Datenschutzgrundverordnung (Verordnung (EU) 2016/679, DSGVO) und die Neufassung des Bundesdatenschutzgesetzes (BDSG 2018) bringen mit ihrer Geltung ab dem 25.5.2018 für alle Unternehmen, die personenbezogene Daten verarbeiten, einige wichtige rechtliche Neuerungen.

Die nachfolgende Zusammenstellung soll für Sie als Unternehmer einen ersten Einblick über die wichtigsten hieraus resultierenden datenschutzrechtlichen Pflichten und zu prüfenden Maßnahmen bieten.

Verantwortlicher im datenschutzrechtlichen Sinn

Adressat der Pflichten nach der DSGVO sowie dem BDSG 2018 ist oder sind primär der oder die für die Verarbeitung Verantwortlichen. Dies ist, wer über Zweck und Mittel der Datenverarbeitung tatsächlich entscheidet. Verantwortlicher kann z. B. eine natürliche Person oder eine juristische Person sein.

Wer personenbezogene Daten „nur“ im Auftrag des Verantwortlichen verarbeitet, also für und innerhalb der Weisungen eines Dritten, ist selbst kein Verantwortlicher im datenschutzrechtlichen Sinn, sondern sog. Auftragsdatenverarbeiter. 

Auftragsdatenverarbeiter sind z. B. externe Rechenzentren, ein externes Lohn- und Gehaltbüro, Anbieter von Hosting- und Administrationsdienstleistungen eines E-Mail-Servers oder EDV-Dienstleister, die Ihre EDV betreuen.

Kein Auftragsdatenverarbeiter ist dagegen in der Regel Ihr Steuerberater oder Rechtsanwalt, da in den meisten Fällen eine Funktionsübertragung vorliegt und damit eine eigenständige „rechtliche Zuständigkeit“. Darüber hinaus setzen in diesen Fällen berufsrechtliche Regelungen eine unabhängige und eigenständige Tätigkeit voraus und verpflichten zur Verschwiegenheit.

Die Beweislast für eine ordnungsgemäße Datenverarbeitung liegt bei Ihnen. Als Verantwortlicher müssen Sie grundsätzlich nachweisen können, dass die Daten rechtmäßig verarbeitet und die datenschutzrechtlichen Vorgaben eingehalten werden (Art. 5 Abs. DSGVO, § 26 Abs. 5 BDSG 2018).

Datenschutzrechtliche Pflichten

Die DSGVO wie das BDSG 2018 sehen umfassende individuelle Rechte der Betroffenen vor, mit denen diese ihr Grundrecht auf Datenschutz durchsetzen können. Der Gesetzgeber hat hier insbesondere auf mehr Transparenz und Information der Betroffenen gesetzt. Dementsprechend führen diese Betroffenenrechte auf Seiten des Verantwortlichen zu Informations-, Auskunfts- oder Dokumentationspflichten, die im Fall von Verstößen durch die Aufsichtsbehörden mit Freiheitsstrafe und/oder hohen Geldbußen sanktioniert werden können.

1. Berichtigungs-, Lösch- und Sperrprozesse

Von Gesetzes wegen ist eine Verarbeitung personenbezogener Daten nur dann erlaubt, wenn der Betroffene eingewilligt hat oder eine andere gesetzliche Grundlage besteht. Soweit im unternehmerischen Bereich die Verarbeitung personenbezogener Daten zur Erfüllung eines zwischen den Parteien geschlossenen Vertrags erforderlich ist, sind regelmäßig die Voraussetzungen des Art. 6 Abs. 1 lit. b DSGVO erfüllt und die Verarbeitung damit rechtmäßig.

Ist der Vertrag erfüllt oder ändert sich der Vertragszweck auf eine Weise, die die Verarbeitung eines bestimmten Datums nicht mehr erfordert, fehlt für eine weitere Verarbeitung die Rechtsgrundlage. 

Liegen nicht die Voraussetzungen einer anderen Rechtsgrundlage vor, so sind Sie grundsätzlich zur Löschung der Daten verpflichtet. Der Betroffene hat das Recht, dies selbst einzufordern. Ausnahmsweise können Gründe vorliegen (z. B. zur Rechtsverteidigung), die nicht zu einer Löschung, sondern zur Sperrung der Daten verpflichten.

Sind die von Ihnen erfassten personenbezogen Daten nicht mehr aktuell oder unvollständig, hat der Betroffene das Recht auf Berichtigung und Aktualisierung der Daten, soweit dies für die Verarbeitungszwecke erforderlich ist.

Soweit Sie personenbezogene Daten veröffentlicht haben, müssen Sie künftig das Löschungsverlangen an andere Stellen weiterleiten, die auf diese Veröffentlichung verweisen. Hierzu bleibt abzuwarten, welche Vorgaben und Verhaltensregeln die Aufsichtsbehörden erarbeiten, da die Umsetzung dieser Vorgaben sich als nicht einfach darstellen wird.

2. Auskunfts- und Informationspflichten gegenüber Betroffenen, Datenübertragung

Um eine transparente Datenverarbeitung zu gewährleisten, muss der Verantwortliche die Betroffenen von sich aus grundsätzlich bei der Datenverarbeitung über die Datenverarbeitung informieren. Der Betroffene muss von der Datenverarbeitung und deren Reichweite (Zweck, Rechtsgrundlage der Verarbeitung, Kontaktdaten des Verantwortlichen, etc.) sowie den Folgen, wenn er nicht die Daten bereitstellt, erfahren, damit er seine Rechte effektiv wahrnehmen kann.

Wie schon nach dem BDSG wird auch künftig danach unterschieden, ob Daten direkt bei dem Betroffenen (Art. 13 DSGVO) oder aus anderen Quellen (Art. 14 DSGVO) erhoben werden.

Daneben kann jeder Betroffene von Ihnen als Verantwortlichem Auskunft über die wesentlichen Elemente der Datenverarbeitung verlangen (Art. 15 DSGVO). Die Auskunft muss unverzüglich, jedenfalls innerhalb eines Monats nach Eingang des Antrags erfolgen. Vorsorglich sollten Sie deshalb in Ihrem Unternehmen Prozesse etablieren, um einem Auskunftsbegehren unverzüglich nachkommen zu können.

Weiter kann der Betroffene vom Verantwortlichen verlangen, ihm alle Daten über seine Person in strukturierter, gängiger und maschinenlesbarer Form bereitzustellen (sog. Recht auf Datenübertragbarkeit, Art. 20 DSGV). Hintergrund dieser Regelung ist, dass es dem Betroffenen erleichtert werden soll, leichter zwischen verschiedenen Anbietern von E-Mail, Cloud-Diensten etc. zu wechseln und damit den Wettbewerb zu stärken.

3. Vereinbarung mit dem Auftragsdatenverarbeiter

Damit die Verarbeitung von personenbezogenen Daten durch Auftragsdatenverarbeiter privilegiert ist und nicht auf eine eigene Erlaubnisnorm gestützt werden muss, müssen bestimmte Voraussetzungen erfüllt sein: Wie unter Ziffer 1 bereits festgestellt, liegt begrifflich Auftragsdatenverarbeitung nur vor, wenn der Auftragsdatenverarbeiter nicht selbst über Zweck und Mittel der Datenverarbeitung entscheidet, sondern weisungsgebunden ist.

Vor Beginn der Auftragsdatenverarbeitung muss der Verantwortliche mit dem Auftragsdatenverarbeiter einen Nutzungsvertrag oder eine ähnliche Vereinbarung schließen, in dem die wesentlichen Aspekte der Auslagerung vereinbart sind. Art. 28 Abs. 3 DSGVO nennt den Mindestregelungsgegenstand einer solchen Vereinbarung. 

Weiter muss der Verantwortliche den Auftragsdatenverarbeiter sorgfältig auswählen und kontrollieren. Letzterer muss also nachweisen, dass er alle Pflichten gem. Art. 28 DSGVO erfüllt. Nur in diesem Fall gelten Verantwortliche und Auftragsdatenverarbeiter als eine Verarbeitungseinheit, so dass für die Datenweitergabe vom Verantwortlichen an den Auftragsdatenverarbeiter nicht das Vorliegen einer Einwilligung des Betroffenen oder eine gesetzliche Rechtsgrundlage gefordert wird.

4. Meldung und Benachrichtigung von Datenschutzverletzungen

Kommt es zu einer Datenschutzverletzung, so müssen Sie diese der Aufsichtsbehörde unverzüglich (spätestens innerhalb von 72 Stunden nach Kenntnis von der Verletzung) melden, es sei denn, dass von der Verletzung keine Gefahren für die Rechte der Betroffenen ausgehen (Art. 33 DSGVO).

Diese Pflicht besteht auch für Auftragsdatenverarbeiter. Die Beweislast für das Nichtvorliegen der Voraussetzungen liegt also beim Verantwortlichen. Im Hinblick auf die empfindliche Bußgeldandrohung bei einer Verletzung ist Verantwortlichen zu raten, dass Sie im Zweifel eine Meldung vornehmen.

Eine Benachrichtigungspflicht gegenüber dem Betroffenen besteht dagegen nur, wenn voraussichtlich ein hohes Risiko für die Verletzung persönlicher Rechte und Freiheiten besteht (Art. 34 DSGVO). In jedem Fall sind Datenschutzrechtsverletzungen zu dokumentieren.

5. Datenschutz-Folgenabschätzung und Vorabkonsultation

Eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist immer dann erforderlich, wenn eine Datenverarbeitung voraussichtlich zu einem hohen Risiko für den Betroffenen führt. Bei der Einordnung wird eine Liste von Verarbeitungsvorgängen helfen, bei denen in jedem Fall eine DSFA vorzunehmen ist (sog. blacklist), die noch von den Aufsichtsbehörden zusammengestellt werden muss.

Ebenso können diese eine sog. whitelist für Verarbeitungsvorgänge erstellen, bei denen klar ist, dass keine DSFA gefordert wird. Derzeit wird noch ein Arbeitspapier zur DSFA auf europäischer Ebene abgestimmt. 

Ergibt die Folgenabschätzung, dass ein hohes Risiko besteht und keine ausreichenden Gegenmaßnahmen getroffen wurden, müssen die geplanten Verarbeitungsprozesse an die Aufsichtsbehörde gemeldet und durch diese geprüft werden (Vorabkonsultation).

6. Datenschutz durch Technikgestaltung (data protection by. design) und datenschutzfreundliche Voreinstellungen (data protection by default)

Durch einschränkende Regelungen z. B. zu Menge, Umfang, Speicherfrist und Zugang zu den personenbezogenen Daten einschließlich organisatorischer Maßnahmen sollen von vornherein die jeweiligen Risiken für den Betroffenen minimiert werden.

Unter Berücksichtigung des Verarbeitungszwecks sollten Sie die konkrete Verarbeitung personenbezogener Daten in Ihrem Unternehmen prüfen und ggf. geeignete Maßnahmen ergreifen, um so dem Prinzip der Datensparsamkeit zu genügen.

Sie sollten sich also jeweils die Frage stellen, ob die Verarbeitung eines bestimmten Datums zur Erfüllung des Vertragszwecks notwendig ist und ob es kein milderes Mittel gibt, den Vertragszweck zu erreichen. Darüber hinaus muss die Datenverarbeitung auch bei Abwägung der sich widerstreitenden Interessen im engeren Sinn erforderlich sein.

Die Aufsichtsbehörden geben zur Ausgestaltung dieser Grundsätze wie z. B. den technischen Standards Empfehlungen und Leitlinien heraus (z. B. unter www.bsi.bund.de).

Die Einhaltung sog. genehmigter Verhaltensregeln, die von Verbänden und anderen Vereinigungen erarbeitet werden sollen, und datenschutzspezifischen Zertifizierungen/Datenschutzsiegel etc., sollen den Nachweis erleichtern, dass die datenschutzrechtlichen Vorgaben eingehalten sind.

7. Sicherheit der Datenverarbeitung

Jeder Verantwortliche ist wie schon nach den geltenden Bestimmungen verpflichtet, mit Blick auf das konkrete Risiko angemessene Maßnahmen für die Sicherheit der Datenverarbeitung und der unternehmens- /konzerninternen Datenflüsse zu treffen.

In Art. 32 Abs. 1 DSGVO nennt die EU-Verordnung beispielhaft einen Katalog von Maßnahmen und Kriterien, die im Einzelfall zu beachten sind (Bsp.: Pseudonymisierung, Verschlüsselung der Daten, Instrumente zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit sowie Verfahren zur Prüfung der Wirksamkeit der Schutzvorkehrungen).

8. Verfahrensverzeichnis

Nach Art. 30 DSGVO müssen in einem schriftlich oder elektronisch zu führenden Verzeichnis alle Verarbeitungstätigkeiten betreffend personenbezogene Daten dokumentiert werden. Die Verordnung listet einen Katalog von Angaben auf, die das Verzeichnis enthalten muss.

Hier sind unter anderem zu nennen: Name und Kontaktdaten des oder der Verantwortlichen, die Zwecke der Datenverarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten sowie die Kategorien von Empfängern.

Da das Verzeichnis nach Art. 30 Abs. 1 DSGVO zusätzlich zu den Daten, die bisher im Verfahrensverzeichnis nach dem noch geltenden BDSG enthalten sind, den Namen und die Kontaktdaten des Datenschutzbeauftragten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen enthalten muss, kann zum 25.5.2018 das bisher geführte Verfahrensverzeichnis um diese Angaben ergänzt werden.

Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Von der Pflicht, ein Verfahrensverzeichnis zu führen, sind nur solche Unternehmen ausgenommen, die weniger als 250 Mitarbeiter haben und nur gelegentlich eine Verarbeitung personenbezogener Daten vornehmen, die zudem weder ein Risiko für den Betroffenen birgt noch sensible Daten umfasst. Eine Veröffentlichung des Verzeichnisses oder ein Recht auf Einsichtnahme durch einen Betroffenen ist nach der DSGVO nicht mehr vorgesehen, so dass auch nicht mehr zwischen internem und externem Verfahrensverzeichnis unterschieden wird.

Eine Veröffentlichung der nun im Verfahrensverzeichnis aufzuführenden technischen und organisatorischen Maßnahmen würde vielmehr Geheimhaltungsinteressen des Unternehmens berühren. Betroffene haben jedoch einen Anspruch auf Auskunft nach Art. 15 DSGVO, ob und ggf. welche Daten zu ihrer Person verarbeitet werden. 

Selbst wenn ein Unternehmen nicht von Gesetzes wegen dazu verpflichtet ist, ein Verfahrensverzeichnis zu führen, empfiehlt es sich, eine solche Dokumentation zu erstellen und zu pflegen, damit Sie bei Bedarf die individuellen Auskunfts- und Informationsrechte von Betroffenen schneller erfüllen können.

Eine neue Verpflichtung sieht Art. 30 Abs. 2 DSGVO für Auftragsdatenverarbeiter vor, die ein „Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“ führen müssen.

9. Datenschutzbeauftragter

Die Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht gem. § 38 Abs. 1 BDSG 2018, soweit Unternehmen (auch Auftragsdatenverarbeiter) in der Regel 10 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ist eine Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO aufgrund der Verarbeitungsvorgänge erforderlich oder werden Daten geschäftsmäßig verarbeitet zwecks Übermittlung, anonymisierter Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, ist unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein Datenschutzbeauftragter zu benennen.

Hervorzuheben ist die neue Möglichkeit, einen Konzerndatenschutzbeauftragten zu benennen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

Mit dem Amt des Datenschutzbeauftragten können Sie eine fachkundige und zuverlässige Person aus dem eigenen Unternehmen oder eine Person auf Grundlage eines Dienstvertrags betrauen (externer Beauftragter).

Er ist frühzeitig in alle datenschutzrelevanten Fragen einzubinden, ist bei der Erfüllung seiner Aufgaben weisungsfrei und genießt deshalb besonderen Kündigungsschutz. Er hat der höchsten Managementebene zu berichten und ist bei der Erfüllung seiner Aufgaben zu unterstützen. 

Zu diesem Zweck ist er frühzeitig zu datenschutzrelevanten Maßnahmen zu konsultieren und ihm ist Zugang zu allen Fachabteilungen zu gewähren. Letztverantwortlich bleibt jedoch die Geschäftsleitung. Der Datenschutzbeauftragte ist darüber hinaus z. B. bei der Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 2 DSGVO oder bei der vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO eingebunden.

10. Benennung eines Vertreters in der Union

Verantwortliche, die nicht in der EU niedergelassen sind, aber gem. Art. 3 Abs.2 DSGVO den datenschutzrechtlichen Bestimmungen nach dem DSGVO unterliegen, müssen grundsätzlich einen Vertreter in der EU benennen. Dieser dient der Aufsichtsbehörde sowie den Betroffenen als Anlaufstelle.

11. Beschäftigtendatenschutz

Im BDSG 2018 hat der deutsche Gesetzgeber überwiegend die bisher bereits bestehenden Regelungen zum Beschäftigtendatenschutz übernommen. Der Beschäftigtendatenschutz wurde in der EU-DSGVO nicht geregelt.

Personenbezogene Daten dürfen danach verarbeitet werden, wenn und soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses oder aufgrund spezieller gesetzlicher Regelungen oder aufgrund eines Tarifvertrags, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) erforderlich ist.

Für die Zulässigkeit der Verarbeitung ist damit auch hier immer zu klären, ob der Verwendungszweck z. B. der Durchführung des Arbeitsverhältnisses zuzuordnen und ob die konkrete Datenverarbeitung erforderlich ist.

Der Begriff „Beschäftigte“ ist in § 26 Abs. 7 BDSG 2018 legal definiert und nennt nun auch Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher und Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten.

Soweit die Verarbeitung personenbezogener Daten auf der Grundlage von Kollektivvereinbarungen erfolgt, muss gewährleistet sein, dass diese selbst den datenschutzrechtlichen Vorgaben entsprechen (Wahrung der berechtigten Interessen und Grundrechte der Betroffenen, Transparenz der Verarbeitung, usw.).

Zwar kann ein Arbeitgeber grundsätzlich auch die Einwilligung des Arbeitnehmers für die Verarbeitung personenbezogener Daten einholen, es ist jedoch im Einzelfall aufgrund des arbeitsrechtlichen Abhängigkeitsverhältnisses sorgfältig zu prüfen, ob die Einwilligung tatsächlich „freiwillig“ erteilt wurde.

Daneben bestehen eine Reihe von formalen Voraussetzungen wie Schriftform, Bezeichnung des Zwecks der Datenverarbeitung und Belehrung über das Widerrufsrecht in Textform, an die eine formwirksame Einwilligung geknüpft sind.

Tipp der KANZLEI NICKERT

Nehmen Sie sich – soweit nicht bereits geschehen – baldmöglichst des Themas Datenschutz an und rüsten Sie so Ihr Unternehmen für die Pflichten der DSGVO sowie des BDSG 2018.

Autoreninfo

huka testKatja Huber

Rechtsanwältin

HINWEIS

Falls Sie über den Beitrag hinausgehende Fragen haben, stehen wir Ihnen gerne zur Verfügung. Allerdings weisen wir Sie darauf hin, dass wir diese individuelle Leistung nach dem Rechtsdienstleistungsgesetz auch abrechnen.

Alle Angaben sind sorgfältig geprüft. Durch Gesetzgebung, Rechtsprechung und Verordnungen sowie Zeitablauf ergeben sich zwangsläufig Änderungen. Bitte haben Sie Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit des Inhalts keine Haftung übernehmen.

 

Die von uns verwendeten Cookies sollen sicherstellen, dass Sie unsere Website optimal genießen können.
Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung dieser Cookies einverstanden. Weitere Informationen zum Datenschutz