Die Datenschutzgrundverordnung wohnt weder in LochNess noch in Brüssel

– Vorbereitung zur Umsetzung der DSGVO – Teil 1 -

 

Der Datenschutz wird durch die Datenschutzgrundverordnung erheblich aufgerüstet, Aufsichtsbehörden und Betroffene erhalten neue Möglichkeiten und die Anforderungen an Unternehmen steigen damit beträchtlich.Den Chef oder die Chefin treffen eine Handlungspflicht bei der Erfassung der aktuellen Lage und der Einleitung der erforderlichen Maßnahmen.

Ja, die DSGVO kommt! Und: Ja, es ist gut, darauf vorbereitet zu sein. Sie ist ein durchaus bekanntes Wesen, welches, wenn auch nicht in Loch Ness, schon gesehen wurde und Kontur und Inhalt aufweist. Und sie wurde zwar in Brüssel auf den Weg gebracht, doch wohin sie letztlich führt, wird nicht in Brüssel entschieden.

 

Noch 6 Monate:
Die DSGVO fordert ab 25. Mai 2018 besonders achtsamen Umgang mit Daten! Die Geschäftsführung aller Unternehmen ist - unterstützt durch einen DS-Beauftragten zur Vermeidung erheblicher Risiken – für die die Einhaltung des Datenschutzes verantwortlich.

 

Niemand weiß, wie die Datenschutzbehörden und schon gar nicht im Streitfall die Gerichte, z.B. der Europäische Gerichtshof (EuGH), damit umgehen werden.

Die DSGVO ist eben neu - und das auch für Behörden und die Justiz.

Viele arbeiten an der Umsetzung, aber alle starten mit dem Verordnungstext, den Erwägungsgründen (ErG), dem neuen Bundesdatenschutzgesetz (BDSG 2018) und im Übrigen mit Annahmen und Vermutungen.
 

Licht im Dunkel verspricht vor allem der Blick in den Verordnungstext selbst, nebst Erwägungsgründen, und hier finden sich dann beruhigenderweise zahlreiche gute Bekannte (Begriffe und Konzepte).
 

Das Gesamtkonzept ist umfassend in 99 Paragrafen (von denen allerdings für Betroffene nur etwa 2/3, also 66 Paragrafen von Belang sind) angelegt, aufwändig im Trilog zwischen Europäischem Parlament, Rat und Kommission erarbeitet und auf der Grundlage von EU-Charta und der Verträge von Lissabon beschlossen worden. Ich stelle es hier abschnittsweise anhand von Fragen dar und beginnen mit einem dreifachen „Wer“.

 

  • Wer ist von der DSGVO betroffen?
  • Wer ist für die Umsetzung verantwortlich?
  • Wer kann sich darum kümmern?


Was kann passieren, wenn ich einfach nichts tue?

Die DSGVO verpflichtet die Aufsichtsbehörden, die Anwendung der Verordnung zu überwachen und durchzusetzen (Art. 57 Abs. 1 a). Dies kann durch die Anweisung geschehen Unterlagen vorzulegen, wie beispielsweise das obligatorische Verzeichnis aller Verarbeitungstätigkeiten oder ggf. einer Datenschutzfolgenabschätzung. Wird diese Anweisung nicht befolgt (mangels Vorbereitung oder Kenntnis), so können in einfacheren Fällen Geldbußen bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, in schwereren Fällen oder bei dem Nichtbefolgen einer Anweisung der Aufsichtsbehörde Geldbußen bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes verhängt werden. Zahlungen dieser Größenordnung dürften kaum durch eine Versicherung abzudecken sein. Hinzu kommen mögliche Schadensersatzansprüche Betroffener, die von der DSGVO explizit auch für immaterielle(!) Schäden vorgesehen sind (Art. 82 Abs. 1). Nicht nur kritische Behörden sondern insbesondere enttäuschte Arbeitnehmer oder Kunden können so zu einem ganz erheblich erhöhten Schadensrisiko beitragen. Die Anfragen bei den Datenschutzbehörden traten nach der Erfahrung einer zuständigen Stelle aus Süddeutschland bereits in der Vergangenheit in vierstelliger Größenordnung auf - mit wachsender Tendenz aus dem Bereich (ehemaliger) Mitarbeiter.

 

Datenschutz als Wettbewerbsvorteil:

Das kostet mich nur Zeit und Geld!“ Eine nachvollziehbare, aber voreilige Einstellung zum Datenschutz. Unabhängig davon, dass die Vernachlässigung von Datenschutz sehr viel teurer werden kann, sprechen auch einige gute Gründe für seine Berücksichtigung:
Datenschutz umfasst auch Datensicherheit, also z.B. die Frage der Verfügbarkeit. Ohne Zugriffsmöglichkeit auf Daten würden auch in unserer Kanzlei die Räder stillstehen. Andererseits wäre das Kompromittieren der Daten, also etwa unberechtigte Zugriffsmöglichkeit oder gar unbemerktes Verändern oder Löschen ein GAU. Sind Informationen in Kenntnis der ggf. vorliegenden Sensibilität und ihres Personenbezuges systematisch erfasst, verzeichnen wir bei geregelter Zugriffsmöglichkeit ein weiteres klares Plus für unsere tägliche Arbeit. Schließlich ist die Darstellung eines professionellen Umganges mit Informationen nach außen nicht nur ein Zeichen für verantwortungsvollen Umgang mit „Datengold“, sondern auch ein Nachweis von Qualitätsmanagement. 

Wer Herr(in) seiner Daten ist, hat einen klaren Vorteil!



Entspannen kann sich voraussichtlich jeder, der sich ernsthaft mit dem Thema beschäftigt hat und entsprechende Auskünfte erteilt und Unterlagen vorlegt. Mit einem rigorosen Durchgreifen der Behörden ist zunächst kaum zu rechnen, zumal es zu ihren Aufgaben gehört, Verantwortliche für die aus der Verordnung entstehenden Pflichten zu „sensibilisieren“ (Art. 57 Abs. 1 d). Langfristig mit Hinnahme von Datenschutzverstößen zu rechnen ist allerdings ein Vabanque-Spiel (siehe oben). Und, anders als früher, haben es die Behörden bei ihrem Vorgehen nun viel einfacher, indem sie vom Verantwortlichen schlicht die Vorlage des Datenschutzkonzeptes einfordern können. Dafür reicht im Zweifel ein Brief.

Gut beraten ist, wer ab Mai 2018 dafür nur in die Schublade greifen muss. Voraussetzung sind eine solide Ist-Analyse der eigenen Daten-(schutz)situation und konkrete Gedanken dazu, wer sich „den Hut aufsetzt“.
 

     1) Bin ich von der DSGVO betroffen?

„Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Kürzer und knapper als im Wortlaut der Verordnung kann man es nicht sagen. Wie üblich ist im Gesetz ein sachlicher und räumlicher Anwendungsbereich definiert (Art. 2 und 3).

Für Unternehmer oder Privatpersonen gelten dabei nur wenige Einschränkungen. Nach dem Erwägungsgrund 18 ist die Datenverarbeitung ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit regelmäßig ausgenommen. Persönliche oder familiäre Tätigkeiten (siehe auch § 1 Abs. 1 S.2 a.E. BDSG 2018) werden von der DSGVO nicht erfasst – relevant etwa bei dem Führen von (privaten) Anschriftenverzeichnissen oder der Nutzung sozialer Netzwerke. Die Unternehmenswebsite auf Facebook gehört selbstredend nicht dazu.

Räumlich sind alle in der EU niedergelassenen Unternehmen und Privatpersonen betroffen. Dabei spielt es keine Rolle, ob die Daten-verarbeitung in der EU stattfindet oder nicht (Art. 3 Abs.1 - Marktortprinzip). Auch Unternehmen, die zwar nicht in der EU sitzen, aber Waren hierher verkaufen oder hier Leistungen erbringen, müssen sich an der DSGVO messen lassen.

Speziell erweitert wird der Anwendungsbereich auf Unternehmen außerhalb des Binnenmarktes, die das Verhalten von Personen in der EU beobachten (Art. 3 Abs. 2b) ). Diese „Lex Google“ setzt lediglich voraus, dass Profile als Grundlage für Entscheidungen oder der Analyse oder Vorhersage persönlicher Vorlieben, Verhaltensweisen oder Gepflogenheiten gebildet werden (ErG 25).

Faktisch wird es nur sehr wenige Ausnahmen geben, gehen wir also davon aus: Wir sind betroffen!
 

     2) Wer ist für die Umsetzung verantwortlich?

Das Kapitel IV (Art. 24 bis 43) beschäftigt sich mit dem Thema „Verantwortlicher und Auftragsverarbeiter“. Wer Verantwortlicher ist, ergibt sich aus dem Definitionsartikel 4 der DSGVO. Unter den 26 Begriffsbestimmungen findet sich unter Nr. 7 die folgende Umschreibung: „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet…“ Verantwortlich ist demnach der oder die Entscheidungsberechtigte, also regelmäßig die Geschäftsführung (so z.B. nach § 43 GmbHG alle Geschäftsführer).

Verantwortlich ist der Chef oder die Chefin!
 

     3) Wer muss oder kann sich darum kümmern?

Die DSGVO geht in ihrer Terminologie von einer Wahrnehmung der Aufgaben durch den Verantwortlichen aus. So heißt es beispielsweise in Art. 32 Abs. 1 DSGVO: „… treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. In Abs. 4 wird unmissverständlich hinzugefügt, dass die Vorgenannten Schritte zu unternehmen haben, um sicherzustellen, „dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung der Verantwortlichen verarbeiten“. Existieren mehrere Verantwortliche, so haben diese in transparenter Form festzulegen, wer von Ihnen welche Verpflichtung nach der DSGVO erfüllt (Art. 26 Abs. 1 S.1). In der DSGVO werden die Aufgaben auch in weiteren Vorschriften konsequent dem Verantwortlichen zugeordnet, sei es bei der Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30), der Zusammenarbeit mit den Aufsichtsbehörden (Art. 31), der Meldung von Verletzungen des Datenschutzes (Art. 33) oder dem Durchführen einer Datenschutz-Folgenabschätzung (Art. 35).

Doch halt… - gab es da nicht einen Datenschutzbeauftragten, der sich darum kümmern soll und muss?

In der Tat sehen Art. 37 bis 39 einen solchen Beauftragten ausdrücklich vor. Zu seinen Aufgaben gehören u.a. die Überwachung der Einhaltung der DSGVO (Art. 39 Abs. 1 b) und die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde (Art. 39 Abs. 1 e). Das Gesetz stellt allerdings klar, dass die Arbeit des Datenschutzbeauftragten in der „Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters … hinsichtlich ihrer Pflichten nach dieser Verordnung“ besteht. Im Erwägungsgrund 97 erwähnt der Verordnungsgeber dann auch, der Verantwortliche sollte „bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden. Verantwortlich ist und bleibt damit letztlich die Geschäftsführung, eine Rolle freilich, an die ein integres Management gewöhnt ist.

Der Delegationsmöglichkeit sind Grenzen gesetzt und die Rolle des, laut Gesetzesvorgabe (Art. 38 Abs. 3), bei der Erfüllung seiner Aufgaben weisungsfreien und der Berichtspflicht nur an die höchste Managementebene unterworfenen Datenschutzbeauftragten ist im Schwerpunkt eine beratende. Ausgefüllt werden kann diese Aufgabe, wie bisher auch, durch eine interne oder externe Position, d.h. durch einen eigenen Mitarbeiter (Beschäftigten) oder auf Grundlage eines Dienstleistungsvertrages (Art. 37 Abs. 6).

In einer Vielzahl von Fällen gibt es allerdings keine Wahl:

Bestellt werden muss ein Datenschutzbeauftragter bei Behörden sowie immer dann, wenn die regelmäßige und systematische Überwachung betroffener Personen in großem Umfang oder bezüglich besonderer Kategorien von Daten (z.B. Gesundheitsdaten oder religiöse Überzeugungen) erforderlich ist (Art. 37 Abs. 1 b und c). § 38 Abs. 1 BDSG 2018 nimmt diesen Fall an, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wegen voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen eine Datenschutzfolgenabschätzung (Art. 35) erforderlich ist oder personenbezogene Daten geschäftsmäßig zum Zwecke der (auch anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung übermittelt werden.

Chef oder Chefin müssen – je nach Unternehmensgröße oder Risikogeneigtheit der Verarbeitung – oder können einen Datenschutzbeauftragten bestellen. Der oder die kann aus den eigenen Reihen kommen oder extern eingekauft werden. Die Prüfung und Entscheidung sollte aufgrund einer soliden Informationslage erfolgen.

In den kommenden Beiträgen beschäftigen wir uns damit,

  • welche Daten durch die DSGVO geschützt werden,
  • ob ein Verfahrensverzeichnis und eine Folgenabschätzung benötigt wird und was ggf. bei dem Erstellen zu beachten ist,
  • wie der Datenverarbeiter eine Einwilligung zur Datennutzung bekommen kann,
  • wann Daten ohne Einwilligung verwenden werden dürfen,
  • wie mit Daten von Mitarbeitern umzugehen ist,
  • welche Routinen bei der Verarbeitung bereitgestellt werden müssen (Information, Berichtigung, Löschung, Sperrung),
  • welche Rolle der Speicherort (z.B. in der Cloud oder in Drittstaaten) spielt,
  • ob und ggf. wie die Einhaltung der Datenschutzvorgaben durch eine Zertifizierung sichergestellt,
  • und wie gegen Maßnahmen der Datenschutzbehörden vorgegangen werden kann.
     

Dr. Peter Kath, Fachanwalt für Informationstechnologierecht und Arbeitsrecht, Kanzlei Hohenstein