Großer DSGVO-Guide mit Checkliste und Tipps für Unternehmen von der Kanzlei Niklas Plutte.
Neuer Beitrag der Kanzlei Niklas Plutte: In diesem ausführlichen DSGVO-Guide geben wir Unternehmen praktische Hilfsmittel an die Hand, um die Umsetzung des Datenschutzrechts schnell, sicher und möglichst kostengünstig zu ermöglichen. Neben vielen Tipps finden Sie bei uns auch Links zu Generatoren, Mustervorlagen und vertiefenden Artikeln. Unsere DSGVO Checkliste geht von einem Unternehmen aus, in dem noch keine Datenschutzvorgaben umgesetzt wurden. Sie eignet sich aber ebenso gut zur Kontrolle und ggf. Ergänzung bereits umgesetzter Datenschutzkonzepte. (RRRedaktion-Schachmatt den Behörden? BEHÖRDEN VERSTÖSSE GEGEN DIE DATENSCHUTZGRUNDVERORDNUNG DSGVO)
I. Wichtige Grundbegriffe: Bevor Sie unsere Checkliste durcharbeiten, sollten Ihnen einige Grundbegriffe zum Datenschutzrecht bekannt sein, die wir nachfolgend kurz erläutern.
1. Automatisierte Verarbeitung personenbezogener Daten
Die DSGVO dient dem Schutz personenbezogener Daten. Gemeint sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Diese weite Definition erfasst alle Informationen, die irgendwie einem bestimmten Menschen zugeordnet werden können, ggf. auch erst mithilfe Dritter.
Auch pseudonyme Informationen werden als personenbezogene Daten eingestuft werden, weil sie zwar nicht direkt, aber durch eine Transferleistung einer natürlichen Person zugeordnet werden können. Ausgenommen vom Anwendungsbereich der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können.
Die DSGVO unterscheidet grundsätzlich nicht nach Wert oder Art der Daten. Es gibt kein belangloses Datum (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 9). Einzige Ausnahme, bei der es auf die Art des Datums ankommt, sind die besonderen Kategorien personenbezogener Daten nach Art. 9 und 10 DSGVO. Für deren Verarbeitung gelten schärfere Voraussetzungen.
Die DSGVO ist zu beachten, wenn eine automatisierte Verarbeitung personenbezogener Daten stattfindet oder wenn solche Daten bei einer nicht automatisierten Verarbeitung in Dateisystemen gespeichert werden oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Als Verarbeitung definiert Art. 4 Nr. 2 DSGVO, „jeden (…) Vorgang (…) im Zusammenhang mit personenbezogenen Daten“ und nennt zahlreiche Beispiele, z.B. die Erhebung, Speicherung, Verwendung oder Übermittlung personenbezogener Daten (und noch viele weitere). Eine Differenzierung zwischen den verschiedenen Arten der Datenverarbeitung ist für die Anwendbarkeit der DSGVO nicht nötig. Automatisiert ist die Datenverarbeitung, wenn eine Datenverarbeitungsanlage zum Einsatz kommt, also insbesondere ein Computer oder sonstiges elektronisches Speichersystem. Handschriftliche Aktensysteme sind als sog. nicht automatisierte Dateisysteme ebenfalls vom Anwendungsbereich der DSGVO umfasst.
Ausgenommen von der DSGVO, aber für Firmen kaum relevant sind Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (sog. Haushaltsprivileg, Art. 2 Abs. 2 c) DSGVO). Besonderheiten gelten für auch die Presse. Wegen Art. 85 DSGVO gelten für Presseunternehmen und deren Hilfsunternehmen über die Landespressegesetze bzw. Landesdatenschutzgesetze bei der Erhebung und Verarbeitung von personenbezogenen Daten kaum Datenschutzvorgaben.
2. Beteiligte am Datenverarbeitungsprozess: Liegen personenbezogene Daten vor, muss auch eine Person existieren, der diese Daten zuzuordnen sind. Diese Person wird von der DSGVO betroffene Person genannt.
Auf der „Gegenseite“ gibt es wiederum immer jemand, der die Verarbeitung der personenbezogenen Daten durchführt oder deren Verarbeitung zumindest in Auftrag gegeben hat. Dies ist der Verantwortliche, der alleine oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). An ihn richten sich die meisten Vorschriften der DSGVO, die bei der Datenverarbeitung beachtet werden müssen.
Der Verantwortliche muss die Datenverarbeitung nicht unbedingt selbst ausführen, sondern kann einen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) damit beauftragen. Auch der Auftragsverarbeiter unterliegt weitreichenden Verpflichtungen der DSGVO, oftmals denselben wie der Verantwortliche. Das entscheidende Abgrenzungsmerkmal des Auftragsverarbeiters ist, dass er den Weisungen des Verantwortlichen unterliegt, also selbst nicht über die Datenverarbeitung entscheidet, sondern diese nur für den Verantwortlichen durchführt (vgl. Kühling/Buchner/Hartung, DSGVO Kommentar, Art. 4 Nr. 8 Rn. 7).
II. DSGVO-Checkliste für Unternehmen: Im Folgenden finden Sie eine Checkliste der umsetzungsbedürftigen DSGVO-Anforderungen, jeweils mit einer kurzen Erläuterung der Anforderung und konkreten Handlungshinweisen. Für weitergehende Informationen zu den einzelnen Themen verweisen wir auf vertiefende Artikel, Links zu Generatoren und Mustervorlagen, die Ihnen die Umsetzung erleichtern werden.
1. Rechtmäßige Datenverarbeitung: Der erste Schritt hin zu einem datenschutzkonformen Unternehmen ist es, sicherzustellen, dass alle Datenverarbeitungsvorgänge im Unternehmen rechtmäßig durchgeführt werden. Dies lässt sich systematisch in fünf Schritten gewährleisten.
a) Erfassen aller Datenverarbeitungsvorgänge: Ausgangspunkt ist die Frage, wo in Ihrem Unternehmen DSGVO-relevante Daten verarbeitet werden. Ein Datenschutzverarbeitungsvorgang ist im Ergebnis jeder Umgang mit personenbezogenen Daten. Verschaffen Sie sich daher zu Beginn einen Überblick über die verschiedenen Verarbeitungstätigkeiten in Ihrem Unternehmen.
Als Unternehmer werden Sie vor allem Daten von zwei verschiedenen Personengruppen verarbeiten:
• Kunden/Geschäftspartner (z.B. Erhebung von Kontakt- und Kontodaten, Übermittlung an Partnerunternehmen, Speichern von Einkaufsverhalten).
• Beschäftigte, insbesondere Arbeitnehmer (z.B. Erhebung von Kontakt- und Kontodaten, Speichern und Organisieren von Arbeitszeiten und Arbeitserträgen, Anfertigen und Veröffentlichen von Fotos auf der Firmenwebsite).
• Auch Bewerber, Websitebesucher und sonstige Dritte können von Datenverarbeitungen betroffen sein.
Naturgemäß gibt es je nach Unternehmen und Geschäftsfeld unzählige denkbare Verarbeitungsmöglichkeiten. Beachten Sie insbesondere, dass ein einheitlicher Lebensvorgang oft mehrere Datenverarbeitungsvorgänge enthält. Geben Sie beispielsweise die von einem Kunden diktierten Kontaktdaten in einen Computer ein, liegt gleichzeitig eine Erhebung und Speicherung der Daten vor.
b) Rechtsgrundlagen festlegen: Wenn Sie einen Überblick über alle Datenverarbeitungsvorgänge in Ihrem Unternehmen gewonnen haben, müssen Sie festlegen, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Dabei gelten für die Daten von Beschäftigten andere Grundsätze als für die Daten sonstiger Personen.
Daten von Beschäftigten: Die Verarbeitung von Beschäftigtendaten des eigenen Unternehmens richtet sich vorrangig nach § 26 BDSG und in erster Linie nicht nach der DSGVO. Das liegt daran, dass der europäische Gesetzgeber die Regelung dieses Gebiets weitgehend den Mitgliedstaaten überlassen hat (Art. 88 DSGVO).
Die Verarbeitung von personenbezogenen Daten der Beschäftigten ist insbesondere in drei Fällen zulässig:
•Die Datenverarbeitung ist zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich (§ 26 Abs. 1 S. 1 BDSG). Diese Ermächtigungsgrundlage wird in den meisten Fällen einschlägig sein, weil darüber alle gängigen Maßnahmen der Mitarbeiterverwaltung erfasst sind.
• Zur Aufdeckung von Straftaten, die der Beschäftigte begangen hat (§ 26 Abs. 1 S. 2 BDSG).
• Es liegt eine Einwilligung des Beschäftigten vor (§ 26 Abs. 2 BDSG, Art. 4 Nr. 11 DSGVO). Eine Einwilligung ist für Datenverarbeitungen erforderlich, die nicht unmittelbar Gegenstand des Beschäftigtenverhältnisses sind, zum Beispiel das Hochladen von Fotos des Beschäftigten
auf die Firmenwebsite.
• Soweit § 26 BDSG keine besondere Regelung trifft, können die Regeln der DSGVO zu den sonstigen Daten anwendbar sein (so die Datenschutzkonferenz der Datenschutzbehörden).
Sonstige Daten, insbesondere von Kunden: Die Verarbeitung von allen anderen Daten ist in der DSGVO geregelt. Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich untersagt, es sei denn, dass ein Erlaubnistatbestand eingreift (sog. Verbotsprinzip). Die allgemeinen Erlaubnistatbestände sind in Art. 6 DSGVO geregelt.
Eine Datenverarbeitung ist nur rechtmäßig, wenn mindestens ein Erlaubnistatbestand aus Art. 6 DSGVO einschlägig ist. Für die Datenverarbeitung im Unternehmen sind vor allem folgende Erlaubnistatbestände relevant:
• Es liegt eine Einwilligung der betroffenen Person zur konkreten Verarbeitung ihrer personenbezogenen Daten vor (Art. 6 Abs. 1 S. 1 lit. a DSGVO), , dazu näher unter c).
• Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher, von der betroffenen Person beantragter Maßnahmen erforderlich (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Es geht hier um Fälle, in denen die Daten verarbeitet werden müssen, damit die vertraglich vereinbarte Leistung in der verabredeten Form erbracht werden kann.
• Der Verantwortliche ist zur Datenverarbeitung verpflichtet (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Wenn das Gesetz den Verantwortlichen verpflichtet, bestimmte Daten in einer Art zu verarbeiten, muss diese Verarbeitung sinnhafterweise auch rechtmäßig sein.
• Das berechtigte Interesse des Verantwortlichen an der Datenverarbeitung überwiegt die Interessen und Rechte der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Hier ist eine Interessenabwägung erforderlich. Es geht vor allem um Datenverarbeitungen, die für die betroffene Person erwartbar waren und ihr keine großen Nachteile verursachen, sondern ihr sogar auch einen Mehrwert bieten.
• Darüber hinaus lässt die DSGVO eine Datenverarbeitung auch zu, wenn dies zum Schutz lebenswichtiger Interessen oder zur Wahrnehmung öffentlicher Aufgaben erforderlich ist (Art. 6 Abs. 1 S. 1 lit. d und e). Diese Tatbestände spielen für Unternehmer in aller Regel aber keine Rolle.
Je nach Art der verarbeiteten Daten („Was“ wird verarbeitet?) oder der Art der Datenverarbeitung („Wie“ wird verarbeitet?) müssen zusätzliche oder schärfere Voraussetzungen erfüllt werden:
• bei besonderen Kategorien personenbezogener Daten (besonders sensible Daten, u.a. über die Gesundheit, die Sexualität oder die politische Einstellung) nach Art. 9 DSGVO.
• bei der Erhebung von Daten müssen die Zwecke, zu denen die Daten erhoben werden, eindeutig festgelegt werden (sog. Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO).
• bei automatisierten Entscheidungen im Einzelfall, insbesondere Profiling (Art. 22 DSGVO).
• wenn die Daten zu einem anderen Zweck verarbeitet werden, als zu dem sie erhoben wurden (Zweckänderung, Art. 6 Abs. 4 DSGVO). Eine Zweckänderung ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Dies bestimmt sich insbesondere danach, ob die betroffene Person mit der Zweckänderung rechnen musste (siehe Erwägungsgrund 50 Satz 6 DSGVO).
• bei einer Videoüberwachung im öffentlichen Raum (§ 4 BDSG). Hier ist im Ergebnis auch eine Abwägung zwischen dem Interesse an der Überwachung und dem entgegenstehenden Interesse der betroffenen Personen erforderlich.
c) Einwilligungen kontrollieren und wenn nötig neu einholen: Falls Ihnen bei der Prüfung eine oder mehrere Datenverarbeitungen aufgefallen sind, die entweder durch keinen Erlaubnistatbestand gedeckt sind oder auf eine Einwilligung gestützt werden, ist Vorsicht geboten. Prüfen Sie zunächst, ob bestehende alte Einwilligungen die Voraussetzungen der DSGVO erfüllen. Wenn dies nicht der Fall ist, müssen Sie, ebenso wie für nicht anderweitig gerechtfertigte Datenverarbeitungen, die Einwilligungen neu einholen.
Die Anforderungen an eine wirksame Einwilligung lauten:
• Einwilligungsfähigkeit des Einwilligenden oder Zustimmung eines gesetzlichen Vertreters (Art. 8 DSGVO): Minderjährige dürfen in Deutschland ab 16 Jahren selbst einwilligen, davor bedarf es der Zustimmung der Eltern.
• Freiwilligkeit der Einwilligung (Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO): Die Einwilligung muss freiwillig erfolgen. Das ist nicht mehr der Fall, wenn die Datenverarbeitung sowieso Voraussetzung für die Durchführung des Vertrags ist oder der betroffenen Person Nachteile drohen, wenn sie die Einwilligung verweigert, insbesondere, wenn eine vertragliche Leistung von der Einwilligung abhängig gemacht wird (sog. Kopplungsverbot). Der betroffene Person muss eine echte Wahlmöglichkeit erhalten. Besonders hoch sind die Anforderungen bei Einwilligungen von Beschäftigten (§ 26 Abs. 2 BDSG).
• Informiertheit der Einwilligung (Art. 4 Nr. 11 DSGVO): Der Einwilligende muss zumindest wissen, wer der Verantwortliche ist und zu welchen Zwecken seine personenbezogenen Daten verarbeitet werden (siehe Erwägungsgrund 42 Satz 3 DSGVO).
• Bestimmtheit (Art. 6 Abs. 1 S. 1 lit a DSGVO): Die Einwilligung muss sich auf bestimmte Datenverarbeitungen beziehen. Nicht zulässig sind „Blanko-Einwilligungen“.
• Form: Grundsätzlich ist die Einwilligung formfrei und kann auch mündlich oder sogar durch konkludentes Handeln erteilt werden, Hauptsache, die Erklärung ist unmissverständlich. Weil Sie als Verantwortlicher aber beweisen müssen, dass eine Einwilligung vorlag, empfiehlt es sich, Einwilligungen nach Möglichkeit in Schriftform einzuholen (Art. 7 Abs. 1 DSGVO).
• Widerruf: Die betroffene Person kann die Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO). Ab diesem Zeitpunkt dürfen die personenbezogenen Daten nicht mehr verarbeitet werden. Über diesen Umstand muss die betroffene Person vor Erteilung der Einwilligung in Kenntnis gesetzt werden (Art. 7 Abs. 3 S. 3 DSGVO).
d) Datenschutzfreundliche Technikgestaltung & Voreinstellungen, Datenminimierung: Die DSGVO verpflichtet Unternehmen, ihre Strukturen so datenschutzfreundlich wie möglich zu organisieren. Dies äußert sich in zwei Anforderungen:
• Datenschutzfreundliche Technikgestaltung und Voreinstellungen (Art. 25 DSGVO): Wenn Sie für Ihre Kunden IT-Dienstleistungen erbringen, müssen Sie bereits bei der Entwicklung dieser Produkte den Datenschutz berücksichtigen. Das äußert sich zum einen darin, dass die verwendete Technik datenschützende Maßnahmen wie eine Pseudonymisierung oder wenn möglich gar Anonymisierung von personenbezogenen Daten umsetzt („Privacy by Design“). Zum anderen muss Ihr Produkt immer die datenschutzfreundlichste Option als Voreinstellung wählen („Privacy by Default“). So sollte beispielsweise die Option zur Verwendung von Nutzerdaten für die Systemoptimierung in einem Registrierungsformular nicht standardmäßig vorausgewählt sein.
• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Speichern Sie personenbezogene Daten nur in dem Maße und nur für den Zeitraum, der zur Zweckerreichung unbedingt erforderlich ist. Zum Beispiel sollten auf einem Formular mit einem Geschäftspartner nicht mehr Daten abgefragt werden als zur Vertragsdurchführung nötig. Sind Daten für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig, müssen sie unverzüglich gelöscht werden (Art. 17 Abs. 1 lit. a DSGVO).
e) Datenschutzfolgeabschätzungen: Eine spezielle Pflicht regelt Art. 35 DSGVO: Bei besonders risikoreichen Datenverarbeitungen ist eine sog. Datenschutzfolgenabschätzung durchzuführen.
Eine besonders risikoreiche Datenverarbeitung liegt insbesondere dann vor, wenn:
• eine systematische und umfassende Bewertung persönlicher Aspekte der betroffenen Person stattfindet und diese auf einer automatisierten Verarbeitung basiert (Art. 35 Abs. 3 lit. a DSGVO),
• in großen Umfang besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden (Art. 35 Abs. 3 lit. b DSGVO) oder
• eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt (Art. 35 Abs. 3 lit. c DSGVO).
Die deutsche Datenschutzkonferenz, das Gremium, in dem sich alle Datenschutzbehörden abstimmen, hat eine Liste veröffentlicht mit den Verarbeitungstätigkeiten, bei denen in jedem Fall eine Datenschutzfolgenabschätzung durchzuführen ist. Die DSK weist darauf hin, dass die Liste nicht vollständig ist. Es handelt sich aber zumindest um eine hilfreiche Richtlinie.
Kommen Sie bei der Datenschutzfolgenabschätzung zu dem Ergebnis, dass ein hohes Risiko besteht, sind Sie gem. Art. 36 Abs. 1 DSGVO verpflichtet, die Aufsichtsbehörde (= Landesbeauftragter für Datenschutz) zu konsultieren.
2. Informationspflichten: Datenschutzerklärungen/Datenschutzhinweise: Ein Merkmal der DSGVO sind die weitreichenden Informationspflichten, die den Verantwortlichen treffen. Nach Art. 13 und 14 DSGVO müssen bei der Erhebung von Daten die betroffenen Personen über einen Katalog von zwölf verschiedenen Informationen informiert werden. Das gilt grundsätzlich sogar dann, wenn die Daten gar nicht bei der betroffenen Person selbst erhoben werden, sondern von einem Dritten stammen. Hier kann gem. Art. 14 Abs. 4 DSGVO die Informationspflicht ausnahmsweise entfallen, wenn die betroffenen Person die Informationen bereits hat oder die Umsetzung der Informationspflicht nicht zumutbar ist.
Der Zeitpunkt, zu dem die Informationspflicht umgesetzt werden muss, unterscheidet sich danach, wo die personenbezogenen Daten erhoben werden:
• Werden die Daten bei der betroffenen Person erhoben, müssen die Informationen im Zeitpunkt der Erhebung mitgeteilt werden. Faktisch bedeutet dies, dass die Informationen vor der Datenerhebung erteilt werden müssen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 56).
• Werden die Daten bei einem Dritten erhoben, sind die Informationen so bald wie möglich zu erteilen, spätestens nach einem Monat. In der Praxis kann ein Großteil der Informationspflichten durch drei standardmäßige Formulare erfüllt werden:
• Datenschutzhinweise vor Vertragsschluss: Hier wird über die Verarbeitung von Daten informiert, die zur Durchführung eines abzuschließenden Vertrags nötig sind (oft als Kunden-Informationsschreiben bezeichnet). Dies sollte dem Kunden vor Vertragsschluss und Erhebung seiner Daten (insbesondere durch Ausfüllen eines Formulars) zur Kenntnis gebracht werden. Teilweise wird in der juristischen Literatur vertreten, es genüge, die Datenschutzhinweise nur auf der Website bereitzuhalten und bei Vertragsschluss darauf zu verweisen (vgl. Schaffland/Wiltfang, DSGVO Kommentar, Art. 13 Rn. 6). Auf der sicheren Seite sind Sie aber, wenn Sie die Datenschutzhinweise zum einen auf Ihrer Website bereithalten, zum anderen aber auch bei jedem Vertragsschluss ein Exemplar aushändigen (sei es gedruckt oder digital).
• Datenschutzerklärung auf der Website: Durch eine Datenschutzerklärung auf Ihrer Website werden Besucher über die Verarbeitung Ihrer personenbezogenen Daten beim Besuch des Webauftritts informiert. Die denkbaren Datenverarbeitungen auf einer Website reichen von Cookies über Kontaktformulare bis zu Newslettern. Die Datenschutzerklärung muss von jederzeit von allen Unterseiten Ihrer Website aus mit einem Klick erreichbar sein. Gängig und empfehlenswert ist es, einen Link im Footer jeder Webseite Ihres Internetauftritts zu platzieren. Ebenfalls ratsam ist es, von allen Social-Media-Profilen Ihres Unternehmens aus eine Verlinkung auf Ihre Datenschutzerklärung zu setzen.
• Mitarbeiter-Informationsschreiben: Da Sie nicht nur personenbezogene Daten Ihrer Kunden, sondern auch solche Ihrer Beschäftigten verarbeiten, müssen Sie auch Ihre Beschäftigten über die Datenverarbeitung informieren. Dabei ist es praktikabel, jedem Mitarbeiter ein gedrucktes Exemplar auszuhändigen.
Die Informationsschreiben müssen gemäß Art. 12 Abs. 1 DSGVO in präziser und verständlicher Sprache geschrieben sein. Es genügt dann, dass die Informationen von den betroffenen Personen zur Kenntnis genommen werden. Deren „Zustimmung“ ist nicht erforderlich. Zumindest bei Ihren Kunden und Mitarbeitern ist es aus Dokumentationszwecken aber sinnvoll, eine Bestätigung der Kenntnisnahme einzuholen (siehe Punkt 8 unserer Checkliste). Dies kann zum Beispiel durch ein nicht vorangekreuztes Kästchen auf einem Formular oder eine eigenständige Erklärung erfolgen.
3. Datenschutzbeauftragter: Als nächstes ist zu klären, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss.
a. Pflicht zur Ernennung eines Datenschutzbeauftragten. Sie müssen einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Ihr Unternehmen zutrifft:
• Die Kerntätigkeit Ihres Unternehmens besteht in der Durchführung von Datenverarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (Art. 37 Abs. 1 lit. b DSGVO). Diese unscharfe Formulierung lässt einige Fragen offen. Gemeint sind wohl Fälle, in denen gezielt Informationen größeren Umfangs beschafft werden und dies nicht nur eine reine Hilfstätigkeit für den Hauptzweck des Unternehmens darstellt (vgl. Kühling/Buchner/Bergt, DSGVO Kommentar, Art. 37 Rn. 18 ff.). Der „Umfang“ einer Datenverarbeitung lässt sich sowohl nach der Dauer der Verarbeitung, der Menge der verarbeiteten Daten als auch der Anzahl der betroffenen Personen bemessen. Beispiele sind Privatdetekteien, Bewachungsunternehmen, Personal- oder Partnervermittlungen sowie zielgruppenorientierte Werbevermarkter.
• Die Kerntätigkeit Ihres Unternehmens besteht in der umfangreichen Verarbeitung sensibler Daten nach Art. 9 und 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO). Maßgeblich ist, wie sehr die in Art. 9 und 10 DSGVO genannten Daten Gegenstand Ihrer geschäftlichen Tätigkeit sind.
• In Ihrem Unternehmen sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG). Es kommt nicht auf Art und Umfang der Datenverarbeitung an, sondern allein darauf, dass mindestens zehn Personen regelmäßig mit Datenverarbeitungen in Kontakt kommen. Zu diesen Personen zählen auch Ehrenamtler oder Teilzeitkräfte.
• In Ihrem Unternehmen werden Datenverarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung gem. Art 35 DSGVO unterliegen (§ 38 Abs. 1 S. 2 BDSG). Ob dies der Fall ist, richtet sich nach Ihren Ergebnissen unter Punkt 1 e).
• Ihr Unternehmen verarbeitet personenbezogene Daten für geschäftsmäßige Datenübermittlung oder Markt- und Meinungsforschung (§ 38 Abs.1 S. 2 BDSG).
b. Persönliche Voraussetzungen eines Datenschutzbeauftragten: Ein Datenschutzbeauftragter muss ausreichendes Fachwissen auf dem Gebiet des Datenschutzrechts vorweisen (Art. 37 Abs. 5 DSGVO). Es kann sich um einen Beschäftigten Ihres Unternehmens handeln (Art. 37 Abs. 6 DSGVO), sofern er wegen seiner anderen Tätigkeiten in Ihrem Unternehmen nicht in einen Interessenkonflikt kommt (Art. 38 Abs. 6 DSGVO).
c. Stellung des Datenschutzbeauftragten: Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie verpflichtet, diesem angemessene Ressourcen zur Verfügung zu stellen und ihn bei der Erfüllung seiner Aufgaben durch Kooperation unterstützen (Art. 38 Abs. 2 DSGVO). Diese Pflicht umfasst ggf. auch die Finanzierung von Fortbildungen. Sie dürfen dem Datenschutzbeauftragten (auf dem Gebiet des Datenschutzes) keine Anweisungen erteilen (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte berät Sie bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Er arbeitet darüber hinaus mit der Aufsichtsbehörde zusammen (Art. 39 DSGVO). Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie gemäß Art. 37 Abs. 7 DSGVO verpflichtet, dies der zuständigen Aufsichtsbehörde zu melden. Zuständig für nicht-öffentliche Verantwortlichen ist der Landesbeauftragte für Datenschutz in Ihrem Bundesland.
4. Betroffenenrechte: Die DSGVO gibt betroffenen Personen eine Reihe von Ansprüchen an die Hand, die Sie bei Vorliegen der jeweiligen Voraussetzungen und einer entsprechenden Anfrage der betroffenen Personen erfüllen müssen:
• Auskunftsrecht (Art. 15 DSGVO): Jede Person kann nachfragen, ob Ihr Unternehmen personenbezogene Daten von ihr verarbeitet. Ist dies der Fall, kann Sie auch Auskunft über genauere Informationen zu den Verarbeitungen verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Jede betroffene Person kann von Ihnen verlangen, dass Sie nur richtige Informationen über sie verarbeiten. Sie müssen daher ggf. unrichtige oder unvollständige Daten ändern oder ergänzen.
• Recht auf Löschung (Art. 17 Abs. 1 DSGVO): Wird die Datenverarbeitung aus einem der in Art. 17 Abs. 1 DSGVO genannten Gründe rechtswidrig oder ist sie für die verfolgten Zwecke nicht mehr erforderlich, müssen Sie diese Daten löschen. Achtung: Besonderheit dieses Rechts ist, dass Sie auch ohne Antrag der betroffenen Person verpflichtet sind, die betroffenen Daten bei Vorliegen der obigen Voraussetzungen zu löschen.
• Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO): Haben Sie die Daten einer betroffenen Person öffentlich gemacht und sind nun zu deren Löschung verpflichtet, müssen Sie auch andere Verantwortliche, die die Daten durch die Veröffentlichung erlangt haben, von dem Löschbegehren unterrichten. Praktisches Beispiel: Wenn eine betroffene Person die Löschung von Daten verlangt, die Sie auf Ihrem Facebook-Profil öffentlich gemacht haben, müssen Sie nicht nur selbst die Daten löschen, sondern auch Facebook (und wegen der Auffindbarkeit des Profils wohl auch Google) davon informieren, dass die betroffene Person die Löschung der Daten verlangt.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter besonderen Voraussetzungen (siehe Art. 18 Abs. 1 DSGVO), insbesondere bei Streitigkeiten über die Rechtmäßigkeit einer Datenverarbeitung, müssen Sie die betroffenen Daten markieren und vorerst nicht mehr weiterverarbeiten. Zum Beispiel können Sie entsprechende Daten für alle Nutzer sperren oder aus einer Software entfernen. Denkbar ist beispielsweise auch die zeitweilige Entfernung eines umstrittenen Fotos von einer Website (vgl. Kühling/Buchner/Herbst, DSGVO Kommentar, Art. 18 Rn. 30 f.).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Das Recht auf Datenübertragbarkeit regelt Fälle, in denen eine betroffene Person ihre Daten bei einem Anbieterwechsel „mitnehmen“ möchte. Sie müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format entweder der betroffenen Person oder (auf Antrag gem. Art. 20 Abs. 2 DSGVO) dem neuen Anbieter zur Verfügung stellen. Letzteres gilt aber nur, soweit eine Übermittlung an den neuen Anbieter „technisch machbar“ ist (Art. 20 Abs. 2 DSGVO).
• Recht auf Widerspruch (Art. 21 DSGVO): Verarbeiten Sie Daten gestützt auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, kann die betroffene Person dagegen Widerspruch erheben, wenn sie begründen kann, dass in ihrem Fall eine besondere Situation vorliegt. Sie müssen in diesem Fall nachweisen, dass Ihr Verarbeitungsinteresse auch in dem konkreten Einzelfall überwiegt oder anderenfalls die Verarbeitung einstellen.
Alle Rechte können formfrei geltend gemacht werden, das heißt auch mündlich. Damit die Daten nicht in die falschen Hände geraten, sind Sie berechtigt und bei Zweifeln auch verpflichtet, eine Identitätsfeststellung vorzunehmen, z.B. durch Vorzeigen eines Personalausweises (Art. 12 Abs. 6 DSGVO).
Es ist im Grundsatz Ihre Pflicht, Ihr Unternehmen so zu organisieren, dass Sie alle Anfragen von betroffenen Personen bearbeiten können. Allerdings müssen Sie keine zusätzlichen Informationen erheben, nur um die Betroffenenrechte erfüllen zu können (Art. 11 Abs. 1 DSGVO). Hier müssen Sie aber nachweisen können, dass Ihnen eine Zuordnung unmöglich ist. Auch kann Ihnen die betroffene Person zusätzliche Informationen anbieten, damit Sie die Zuordnung vornehmen können. Diese Ausnahme wird deshalb nur in seltenen Fällen greifen.
Die Betroffenenrechte müssen unentgeltlich erfüllt werden. Nur bei missbräuchlichen Anträgen (= offenkundig unbegründet oder exzessiv häufigen) kann eine Gebühr erhoben werden (Art. 12 Abs. 5 DSGVO). Die Betroffenenrechte müssen spätestens innerhalb eines Monats bearbeitet werden. Nur in Ausnahmefällen ist eine Fristverlängerung möglich (Art. 12 Abs. 3 DSGVO). Beachten Sie, dass Sie bei Ablehnung eines Antrags nach Art. 12 Abs. 4 DSGVO eine Rechtsbehelfsbelehrung anfügen müssen.
5. Auftragsverarbeitung: Wenn Sie die Datenverarbeitung (teilweise) an Dritte (sog. Auftragsverarbeiter) ausgegliedert haben, sind Sie gemäß Art. 28 Abs. 3 DSGVO verpflichtet, einen Vertrag (oder einen anderen Rechtsakt, z.B. eine Verpflichtung) mit dem Auftragsverarbeiter abzuschließen, der gewährleistet, dass der Auftragsverarbeiter nur im Rahmen Ihrer Weisungen handelt und die Daten rechtmäßig verarbeitet.
6. Datentransfer: Weitere Besonderheiten gelten für Datenübermittlungen in Drittstaaten, also Länder, in denen die DSGVO nicht gilt. Unproblematisch ist die Datenübermittlung, wenn die EU-Kommission das Datenschutzniveau in den entsprechenden Ländern für angemessen erachtet (Art. 45 Abs. 3 DSGVO).
Für Länder mit problematischer Datenschutzlage muss sichergestellt werden, dass der Empfänger im Drittland geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat (Art. 46 DSGVO). Ist dies nicht der Fall, dürfen die Daten nur in den Ausnahmefällen des Art. 49 DSGVO (insbesondere: Einwilligung der betroffenen Person) übermittelt werden.
7. Datensicherheit: Vom Datenschutz im engeren Sinne zu unterscheiden ist die Datensicherheit. Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden dürfen, sondern wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritter oder dem Verlust und der Veränderung aufgrund technischer Pannen geschützt werden.
Art. 32 DSGVO fordert, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ muss, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich gemäß Art. 32 Abs. 2 DSGVO danach, wie hoch die Risiken der Datenverarbeitung sind, also welche Folgen drohen, wenn die Daten verloren gehen oder unbefugt von Dritten ausgelesen werden.
a) Technische und organisatorische Maßnahmen: Art. 32 HS. 2 DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können:
• Pseudonymisierung und Verschlüsselung von Daten (lit. a)
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der verwendeten Systeme (lit. b)
• Wiederherstellbarkeit der Verfügbarkeit von Daten nach einem Zwischenfall (lit. c)
• Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen (lit. d)
Diese Begriffe sind mit Ausnahme der Pseudonymisierung von Daten unkonkret. Weil die Anforderungen an die Datensicherheit je nach Art und Umfang der Datenverarbeitung höher oder geringer sind, muss das Datensicherheitssystem letztlich immer im Einzelfall ausgerichtet werden.
Entscheidend ist, dass die Daten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und ähnlichen Zwischenfällen geschützt sind. Als Mindestmaß sollte jedes Unternehmen den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf seinen Computern installiert haben sowie seine Kommunikation verschlüsseln.
b) Reaktionsmechanismen bei Datenverletzungen: Meldepflicht: Sollte es trotz der getroffenen Maßnahmen zu einer Datenpanne kommen, sind Sie verpflichtet, diese Panne der Datenschutzbehörde und unter Umständen auch der betroffenen Person zu melden (Art. 33, 34 DSGVO).
Voraussetzungen der Meldepflicht: Sie müssen melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist. Wann dies
der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:
• zur Vernichtung
• zum Verlust
• zur Veränderung
• zur unbefugten Offenlegung oder
• zum unbefugten Zugang
von/zu personenbezogenen Daten führt: Adressat der Meldung: In jedem Fall sind Datenverletzungen an die Aufsichtsbehörde zu melden (Art.33 DSGVO). Hat die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person zur Folge, so ist auch diese zu benachrichtigen (Art. 34 DSGVO), es sei denn, dass einer der Ausschlussgründe des Art. 34 Abs. 3 DSGVO vorliegt.
Inhalt der Meldung: Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO enthalten:
• Beschreibung der Datenpanne (für die betroffenen Person in einfacher Sprache),
• Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle,
• Beschreibung der wahrscheinlichen Folgen des Zwischenfalls
• Beschreibung der von Ihnen ergriffenen Maßnahmen zur Behebung der Datenverletzung
Meldefrist: Die Meldung an die Behörde muss innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt geworden ist, an die Aufsichtsbehörde gemeldet werden. Halten Sie diese Frist nicht ein, müssen Sie dies begründen (Art. 33 Abs. 1 DSGVO).
8. Dokumentation (Datenschutzkonzept) Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht für den Verantwortlichen. Danach müssen Sie in der Lage sein, nachzuweisen, dass Sie die Grundsätze der Datenverarbeitung einhalten. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen Sie also nachweisen können, dass Sie sich an die DSGVO halten. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Sie als Verantwortlicher verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.
a) Dokumentieren Sie alle relevanten Maßnahmen: Den Nachweispflichten der DSGVO können Sie nur durch eine umfassende Dokumentation aller getroffenen Maßnahmen auf dem Gebiet des Datenschutzes nachkommen. Halten Sie deshalb genau fest, wie Sie diese Checkliste umsetzen.
b) Datenverarbeitungsverzeichnis: Eine besondere Form der Dokumentationspflicht ist das Datenverarbeitungsverzeichnis nach Art. 30 DSGVO. Hier müssen Sie alle Datenverarbeitungen in einer bestimmten (in Art. 30 DSGVO näher geschilderten) Weise festhalten. Dankenswerterweise stellen die deutschen Datenschutzbehörden hierzu eine offizielle Mustervorlage zur Verfügung.
Zwar gibt es in Art. 30 Abs. 5 DSGVO grundsätzlich auch Ausnahmen. Diese sind allerdings so vage gehalten, dass wir dringend empfehlen, in jedem Fall ein Datenverarbeitungsverzeichnis anzulegen. Das Datenverarbeitungsverzeichnis hilft Ihnen zum einen, der generellen Dokumentationspflicht nachzukommen, zum anderen wird es Ihnen nach Durchführung von Punkt 1 der Checkliste keinen nennenswerten Aufwand mehr bereiten.
c) Optional: Zusammenfassung der Dokumentationen als Datenschutzkonzept: Wenn Sie alle wesentlichen Vorgänge dokumentiert haben, kannes sich lohnen, dies zu einem umfassenden Datenschutzkonzept ihres Unternehmens zusammenzufassen. Ein Datenschutzkonzept ist nicht verpflichtend, bündelt aber zum einen Ihre Dokumentationen an einem Ort und kann zum anderen positiv auf die Außenwirkung Ihres Unternehmens einzahlen.
d) Besondere Dokumentationspflichten: Über die vorstehenden Punkte hinaus regelt die DSGVO eine Vielzahl an spezielleren Dokumentations- und Nachweispflichten, zum Beispiel die Dokumentation von Datenpannen (Art. 33 Abs. 5 DSGVO), die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 lit. a DSGVO) oder die Pflicht zum Nachweis der Einwilligung der betroffenen Person (Art. 7 Abs. 1 DSGVO). Wenn Sie wie von uns empfohlen ohnehin alle wesentlichen Schritte dokumentieren, müssen Sie aber diesbezüglich keine weiteren Maßnahmen treffen.
9. Schulung und Verpflichtung von Beschäftigten: Gemäß Art. 29, 32 Abs. 4 DSGVO sind Sie als Verantwortlicher für die Einhaltung des Datenschutzes durch Ihre Beschäftigte verantwortlich. Die Datenschutzaufsichtsbehörden empfehlen hier insbesondere eine Verpflichtung IhrerMitarbeiter auf die Einhaltung der Regeln des Datenschutzes. Dem sollte eine zumindest kurze Schulung vorangehen, um den richtigen Umgang auch tatsächlich zu gewährleisten. Hinweis: Dieser Beitrag wurde unter Mitwirkung unseres wissenschaftlichen Mitarbeiters Felix Wichert erstellt.
Die Kommentarfunktion ist geschlossen.